JP2004295590A - Auditing system and method, auditing server and auditing program - Google Patents

Auditing system and method, auditing server and auditing program Download PDF

Info

Publication number
JP2004295590A
JP2004295590A JP2003088202A JP2003088202A JP2004295590A JP 2004295590 A JP2004295590 A JP 2004295590A JP 2003088202 A JP2003088202 A JP 2003088202A JP 2003088202 A JP2003088202 A JP 2003088202A JP 2004295590 A JP2004295590 A JP 2004295590A
Authority
JP
Japan
Prior art keywords
question
audit
assessment
answer
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003088202A
Other languages
Japanese (ja)
Inventor
Bunji Ishida
文治 石田
Akira Sugiura
昌 杉浦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2003088202A priority Critical patent/JP2004295590A/en
Publication of JP2004295590A publication Critical patent/JP2004295590A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To automatically generate the question setting algorithm of assessment in auditing, and to perform the proper comparison display of a plurality of algorithm results by weighted tabulation. <P>SOLUTION: An ISO auditing system is provided with an auditing terminal 10 and an ISO auditing server 30 connected through a communication network 50. In the performance of assessment, the ISO auditing server assembles question setting algorithms of questions based on the information of assessment registered in a history DB, question information associated with an ISO provision registered in a question DB and answers of a person to be audited received from the auditing terminal and calculates scores based on the score allocation of the questions corresponding to the answers received from the auditing terminal, weighted score allocation set in the questions and weighted score allocation set for each text or clause of the ISO provision. Also, the ISO auditing server tabulates scores for each evaluation axis of each question registered in the question DB. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

【0001】
【発明の属する技術分野】
本発明は、監査において、アセスメントの出題アルゴリズムを自動生成するとともに、重み付け集計により複数のアルゴリズム結果の適切な比較表示を行う監査システム、方法、サーバ及びプログラムに関する。
【0002】
【従来の技術】
従来、ISO(国際標準化機構、International Organization for Standardization)監査におけるアセスメントは、監査者個人のノウハウと膨大な準備時間、結果分析時間が必要とされていた。
すなわち、ISO条文の十分な理解のもとに、被監査企業属性や対象者属性を考慮して、1つ1つのアセスメント項目を監査の都度作成して行われていた。
また、従来の情報セキュリティ監査システムは、被監査企業の監査対象システム情報の入力をもとにして自動的なセキュリティ診断を提供するものであり(例えば、特許文献1参照。)、人間という監査対象の属性に応じた監査の進行や、人間の回答結果分析の手段を提供するものではなかった。
一方、定量的な情報によって、監査結果を記録および分析することにより、監査の品質や生産性を向上させることのできる監査システムが提案されている(例えば、特許文献2参照。)。
【0003】
【特許文献1】
特開2001−273388号公報
【特許文献2】
特開2001−350910号公報
【0004】
【発明が解決しようとする課題】
しかしながら、このような従来の監査システムを用いても、経験の浅い者が、高い品質で監査を実行することのできるものではなかった。
すなわち、この従来の監査システムによれば、監査結果の分析精度を向上させることはできるが、アセスメントをどのように実施するかということを支援するものではなかった。
【0005】
本発明は、上記の事情にかんがみなされたものであり、監査において、アセスメントの出題アルゴリズムを自動生成するとともに、重み付け集計により複数のアルゴリズム結果の適切な比較表示を行うことの可能な監査システム、方法、サーバ及びプログラムの提供を目的とする。
【0006】
【課題を解決するための手段】
上記目的を達成するため、本発明の請求項1記載の監査システムは、通信ネットワークを介して接続された監査用端末と監査サーバを有する監査システムであって、監査サーバが、アセスメントの実施にあたり、履歴DBに登録されている当該アセスメントの情報と、質問DBに登録されているISO条文に関連する質問情報と、監査用端末から受信する被監査者の回答にもとづいて、質問の出題アルゴリズムを組み立てるとともに、この出題アルゴリズムに従い質問を監査用端末に送信し、監査用端末が、送信されてきた質問を表示するとともに、この質問に対する回答を監査サーバに送信する構成としてある。
【0007】
監査システムをこのような構成にすれば、アセスメントの実施にあたり、履歴DBからそのアセスメントの質問を選択するための情報を抽出するとともに、そのアセスメントに必要な質問を質問DBから抽出して、適切な出題アルゴリズムを自動生成することができる。また、監査用端末からの回答に応じて、以降に出題する質問し、アルゴリズムの組み直しを行うこともできる。
このため、監査者は、監査そのものに集中しながらその進行を図ることができるとともに、監査をより柔軟かつ効率的に実施することが可能となる。
また、経験の浅い監査者であっても、熟練者のノウハウを利用したアセスメントを実施することが可能となる。
【0008】
本発明の請求項2記載の監査システムは、監査サーバが、質問DBに登録されている一又は二以上の質問セットから、履歴DBに登録されている当該アセスメントの情報における質問タイプにもとづき質問セットを検索して、検索された質問セットにおける各質問項目の属性が、被監査者、およびアセスメントの情報におけるアセスメントタイプに合致する質問項目を抽出し、この抽出した質問項目を質問番号順に並び替えて監査用端末に送信する構成としてある。
【0009】
監査システムをこのような構成にすれば、質問セット、被監査者の属性、そのアセスメントの重要度などを識別するアセスメントタイプにもとづいて、適切な質問を質問DBから抽出して、出題アルゴリズムを構成することができる。
このため、被監査企業、被監査者等に応じて、適切な出題アルゴリズムを柔軟に構成することが可能となる。
【0010】
本発明の請求項3記載の監査システムは、監査サーバが、監査用端末から受信した回答にもとづいて、質問DBにおける当該回答に対応する質問の関連質問を、その回答内容に応じて肯定回答または否定回答が得られたものと擬制して質問の出題アルゴリズムを組み直し、この組み直した出題アルゴリズムに従い質問を監査用端末に送信するとともに、回答および擬制した回答を履歴DBに保存する構成としてある。
【0011】
監査システムをこのような構成にすれば、質問DBにおいて、関連質問が登録されている質問については、監査用端末からの回答に応じて、関連質問を回答したものと擬制し、以降の質問の出題アルゴリズムを組み直すことが可能となる。このため、被監査者の回答にもとづいて、出題アルゴリズムを柔軟に構成することが可能となる。
【0012】
本発明の請求項4記載の監査システムは、監査サーバが、監査用端末から受信した回答に対し、この回答に対応する質問の配点と、その質問に設定された重み付け配点と、ISO条文の章または節ごとに設定された重み付け配点と、にもとづいて得点を計算し、かつ、質問DBに登録されている各質問の評価軸ごとに、得点を集計する構成としてある。
【0013】
監査システムをこのような構成にすれば、自動生成された出題アルゴリズムに従った質問に対する回答を集計するにあたり、各質問項目の配点に被監査者の属性に応じた重み付けや、監査の重要度に応じた重み付けを設定することができる。
このため、監査者によるその監査の重要度や被監査者の状況に応じたアセスメントの実施レベル(アセスメントタイプ)の選択にもとづいて、最適なアセスメントの出題アルゴリズムを自動生成することができる。
また、このような重み付けを用いた集計を行うことにより、同一企業内においても被監査者属性ごとのアセスメント実施結果を適切に比較することも可能となる。
【0014】
本発明の請求項5記載の監査システムは、監査サーバが、評価軸ごとの集計結果を、少なくとも一覧表またはグラフの形式により表示する構成としてある。
監査システムをこのような構成にすれば、各評価軸のバランスを一覧表やグラフにより表示することができる。
このため、ISOの求めるトータルなマネジメントの基準中、どの領域が問題かを一目で判断することが可能となる。
【0015】
本発明の請求項6記載の監査システムは、監査サーバが、監査用端末から受信した企業属性、または対象者属性にもとづいて、企業DBから当該企業属性、または対象者属性を有する企業または対象者を抽出し、この抽出した企業または対象者のアセスメント実施結果を履歴DBから抽出して、評価軸ごとの得点を集計する構成としてある。
【0016】
監査システムをこのような構成にすれば、他の企業とのアセスメント実施結果の比較が行えるのみならず、同一企業内においても、担当者や組織によるセキュリティ意識の違いなどを、グラフおよび各回答内容の参照により比較分析することができる。
このため、同一企業内におけるこのような矛盾点を明確化することが可能となる。
また、過去の結果とグラフ上での比較ができるため、セキュリティ基準のレベルの推移を一目で確認することが可能となる。
さらに、業種/業界別や、組織属性別などに、結果を集計してグラフで比較することも可能となる。
【0017】
本発明の請求項7記載の監査システムは、監査サーバに、通信ネットワークを介してメンテナンス用端末が接続され、当該メンテナンス用端末が、メンテナンス対象となる質問項目に対応するISOの条文番号を監査サーバに送信するとともに、監査サーバから受信した質問項目編集画面を表示し、かつ、編集入力された質問項目を監査サーバへ送信し、監査サーバが、メンテナンス用端末から受信した条文番号にもとづいて、質問DBを検索し、当該条文番号に対応する質問項目が存在する場合は、この質問項目を表示した質問項目編集画面を、当該条文番号に対応する質問項目が存在しない場合は、ブランク表示の質問項目編集画面を、メンテナンス用端末に送信し、かつ、メンテナンス用端末から受信した編集入力された質問項目を質問DBに保存する構成としてある。
【0018】
監査システムをこのような構成にすれば、ISO条文ごとの質問を、メンテナンス用端末から容易に作成し、編集して、監査サーバに登録することが可能となる。
そして、このようにして作成・編集した質問項目を、上述の出題アルゴリズムの生成や組み直しを通じて、アセスメントにおいて利用することが可能となる。
【0019】
本発明の請求項8記載の監査方法は、通信ネットワークを介して接続された監査用端末と監査サーバを用いた監査方法であって、監査サーバが、アセスメントの実施にあたり、履歴DBに登録されている当該アセスメントの情報と、質問DBに登録されているISO条文に関連する質問情報と、監査用端末から受信した被監査者の回答にもとづいて、質問の出題アルゴリズムを組み立てるとともに、この出題アルゴリズムに従い質問を監査用端末に送信し、監査用端末が、送信されてきた質問を表示するとともに、この質問に対する回答を監査サーバに送信する方法としてある。
【0020】
監査方法をこのような方法にすれば、監査者は、熟練者の監査ノウハウを反映して監査サーバにより自動生成される出題アルゴリズムに従って、アセスメントを実行することができる。
このため、経験の浅い監査者であっても、熟練者と同じ品質で、監査を行うことが可能となる。
【0021】
本発明の請求項9記載の監査方法は、監査サーバが、質問DBに登録されている一又は二以上の質問セットから、履歴DBに登録されている当該アセスメントの情報における質問タイプにもとづき質問セットを検索して、検索された質問セットにおける各質問項目の属性が、被監査者、およびアセスメントの情報におけるアセスメントタイプに合致する質問項目を抽出し、この抽出した質問項目を質問番号順に並び替えて監査用端末に送信し、監査用端末が、受信した質問項目に対する回答を、監査サーバに送信し、監査サーバが、受信した回答にもとづいて、質問DBにおける当該回答に対応する質問の関連質問を、その回答内容に応じて肯定回答または否定回答が得られたものと擬制して質問の出題アルゴリズムを組み直し、この組み直した出題アルゴリズムに従い質問を監査用端末に送信するとともに、回答および擬制した回答を履歴DBに保存する方法としてある。
【0022】
監査方法をこのような方法にすれば、監査サーバに、監査者により選択され、履歴DBに登録された質問タイプを有する質問セットのうち、被監査者の属性や、そのアセスメントの重要度等にもとづき抽出された質問により構成された出題アルゴリズムに従って、アセスメントを実行することができるとともに、被監査者からの回答に応じて、その出題アルゴリズムを組み直すことができる。
このため、監査者は、従来のように出題アルゴリズムの作成に時間を取られることがないため、監査そのものに集中することができ、監査の質を向上させることが可能となる。また、周到な準備時間や監査ノウハウがない監査者がアセスメントを実施しても、アセスメント結果の出力内容に差が出ないという効果も得られる。
【0023】
本発明の請求項10記載の監査方法は、監査サーバが、監査用端末から受信した回答に対し、この回答に対応する質問の配点と、その質問に設定された重み付け配点と、ISO条文の章または節ごとに設定された重み付け配点と、にもとづいて得点を計算し、かつ、質問DBに登録されている各質問の評価軸ごとに、得点を集計する方法としてある。
【0024】
監査方法をこのような方法にすれば、アセスメント実施結果の集計に、重み付け配点を考慮することができる。
このため、熟練者の監査ノウハウを出題アルゴリズムの生成に、より効果的に取り入れることが可能となるとともに、被監査者間の比較をより適切に行うことが可能となる。
【0025】
本発明の請求項11記載の監査サーバは、通信ネットワークを介して、監査用端末に監査のための質問およびアセスメント実施結果を送信する監査サーバであって、重み付けや配点情報を含んだ質問データを格納する質問DBと、アセスメント実施結果としての回答データを格納する履歴DBと、監査を行う監査者情報を格納する会員DBと、監査用端末から受信した会員IDおよびパスワードにもとづいて会員DBを検索し、当該会員IDおよびパスワードが会員DBに登録されているか否かにより認証を実行する会員認証部と、アセスメントの実施にあたり、履歴DBに登録されている当該アセスメントの情報と、質問DBに登録されているISO条文に関連する質問情報と、監査用端末から受信した被監査者の回答にもとづいて、質問の出題アルゴリズムを組み立てるとともに、この出題アルゴリズムに従い質問を監査用端末に送信するアセスメント実行部と、監査用端末からの要求にもとづいて、アセスメント実施結果を表示するアセスメント集計画面を監査用端末に送信する結果表示部と、を有する構成としてある。
【0026】
監査サーバをこのような構成にすれば、熟練者の監査ノウハウを取り込んだ出題アルゴリズムを自動生成することができる。
このため、監査の準備や、監査スキルの違いにより、監査者間でアセスメント実行結果に差が生じる事態を防止し、質の高い監査を短期間で実施することが可能となる。
【0027】
本発明の請求項12記載の監査サーバは、アセスメント実行手段が、質問DBに登録されている一又は二以上の質問セットから、履歴DBに登録されている当該アセスメントの情報における質問タイプにもとづき質問セットを検索し、検索された質問セットにおける各質問項目の属性が、被監査者、およびアセスメントの情報におけるアセスメントタイプに合致する質問項目を抽出して、この抽出した質問項目を質問番号順に並び替えて監査用端末に送信し、監査用端末から受信した質問項目に対応する回答にもとづいて、質問DBにおける当該回答に対応する質問の関連質問を、その回答内容に応じて肯定回答または否定回答が得られたものと擬制して質問の出題アルゴリズムを組み直し、この組み直した出題アルゴリズムに従い質問を監査用端末に送信するとともに、回答および擬制した回答を履歴DBに保存する構成としてある。
【0028】
監査サーバをこのような構成にすれば、質問タイプ、被監査者の属性、アセスメントの重要度などにもとづいて、質問DBから問題を抽出して出題アルゴリズムを構成することができるとともに、回答にもとづいて、その出題アルゴリズムを再構成することができる。
このため、監査の重要度や、被監査者の状況等に応じた出題アルゴリズムを、その回答内容も考慮して、柔軟に構成することが可能となる。
【0029】
本発明の請求項13記載の監査サーバは、結果表示部が、監査用端末から受信した回答に対し、この回答に対応する質問の配点と、その質問に設定された重み付け配点と、ISO条文の章または節ごとに設定された重み付け配点と、にもとづいて得点を計算し、かつ、質問DBに登録されている各質問の評価軸ごとに、得点を集計して、少なくとも一覧表またはグラフを作成し、この一覧表またはグラフを監査用端末に送信する構成としてある。
【0030】
監査サーバをこのような構成にすれば、被監査者の属性などに応じて、質問項目等に重み付けを設定することができる。また、この重み付けを考慮して、集計結果を一覧表やグラフに表示することができる。
このため、被監査者の属性ごとの差異を際だたせることができ、被監査者間の意識のズレなどを明確に把握することが可能となる。
【0031】
本発明の請求項14記載の監査プログラムは、監査用端末に、監査のための質問およびアセスメント実施結果を、通信ネットワークを介して監査用端末へ送信させる監査プログラムであって、監査サーバに、質問DBに登録されている一又は二以上の質問セットから、履歴DBに登録されている当該アセスメントの情報における質問タイプにもとづき質問セットを検索させて、検索された質問セットにおける各質問項目の属性が、被監査者、およびアセスメントの情報におけるアセスメントタイプに合致する質問項目を抽出させ、この抽出させた質問項目を質問番号順に並び替えさせて監査用端末に送信させ、監査用端末から受信した質問項目に対応する回答にもとづいて、質問DBにおける当該回答に対応する質問の関連質問を、その回答内容に応じて肯定回答または否定回答が得られたものと擬制して質問の出題アルゴリズムを組み直させ、この組み直させた出題アルゴリズムに従い質問を監査用端末に送信させるとともに、回答および擬制した回答を履歴DBに保存させる構成としてある。
【0032】
監査プログラムをこのような構成にすれば、監査サーバに、質問タイプ、被監査者の属性、アセスメントの重要度などにもとづいて、質問DBから問題を抽出させて出題アルゴリズムを構成させることができるとともに、回答にもとづいて、その出題アルゴリズムを再構成させることができ、監査の重要度や、被監査者の状況等に応じた出題アルゴリズムを、その回答内容も考慮して、柔軟に構成させることが可能となる。
【0033】
本発明の請求項15記載の監査プログラムは、監査サーバに、監査用端末から受信させた回答に対し、この回答に対応する質問の配点と、その質問に設定された重み付け配点と、ISO条文の章または節ごとに設定された重み付け配点と、にもとづいて得点を計算させ、かつ、質問DBに登録されている各質問の評価軸ごとに、得点を集計させる構成としてある。
【0034】
監査プログラムをこのような構成にすれば、監査サーバに、被監査者の属性などに応じて、質問項目等に重み付けを設定させ、この重み付けを考慮して、集計結果を一覧表やグラフに表示させることができるため、被監査者の属性ごとの差異を際だたせ、被監査者間の意識のズレなどを明確に把握することが可能となる。
【0035】
【発明の実施の形態】
以下、本発明の実施形態につき、図面を参照して説明する。
[第一実施形態]
まず、本発明の第一実施形態のISO監査システムの運用について、図1を参照して説明する。同図は、本実施形態のISO監査システムの概略図である。
なお、以下の実施形態において、ISO監査システムは、ISO17799の監査を実行するものとしているが、これに限定されるものではなく、他の監査や、他のバージョンのISO監査にも適用することができる。
【0036】
同図に示すように、監査者はアセスメントを実施するにあたり、ISO監査システムのアセスメント実行機能を用いて、被監査者に対してヒアリングを実施して、セキュリティ診断およびアドバイス等を行う。
このヒアリングにあたっては、本システムより予め提供されたISO17799に関する質問項目を利用するか、あるいは新たに質問項目を設定して、これを利用することができる。質問項目には、被監査企業の属性と対象者属性による重み付けと、ISO条文内での質問としての重要度の設定が可能である。
監査者は、このISO監査としてのアセスメント実施に際して、被監査企業の業種や社員数などの属性を本システムに登録し、さらに被監査者の所属や役職などの被監査者属性を登録する。
【0037】
そして、ヒアリングにおいては、被監査企業属性、被監査者属性、および予め設定された質問項目への重み付けにもとづき作成された出題アルゴリズムにより、質問が展開される。また、各アセスメント開始時にアセスメントのレベルを選択することにより、全質問項目による詳細なアセスメントか、重要な質問のみの簡易なアセスメントかの切り分けに応じた、質問展開が行われる。さらに、質問項目やその重み付け,重要度等については、ISO監査システムにおけるアセスメントメンテナンス実行機能により追加,変更,削除等を行うことができる。
【0038】
被監査企業における被監査者に対する一通りのアセスメントが終了すると、回答結果は、本システムにより提供されている、あるいは監査者により設定された評価軸と質問事項への配点にしたがって集計され、グラフおよび一覧形式で表示される。
この評価軸とは、集計の際に、得点をどのカテゴリーに分類するかを示すものであり、例えば、ISO自体の条文の章のタイトルそのもの(1.セキュリティポリシー,2.セキュリティ組織,・・・,9.アクセス制御等)を用いることができる。その他、セキュリティ上にあげられるリスク分析の観点からの評価軸(情報資産,脆弱性,脅威等)を挙げることもできる。
また、ISO監査システムにおけるこれらのアセスメント実行機能、アセスメントメンテナンス実行機能、およびアセスメント実施結果集計機能への利用権限は、会員管理システムなどにおいて管理される会員情報にもとづく会員認証機能により制限されている。
【0039】
[ISO監査システム]
次に、本発明の第一実施形態におけるISO監査システムの構成について、図2を参照して説明する。同図は、本実施形態のISO監査システムの構成を示すブロック図である。
図2に示すように、本実施形態のISO監査システムは、監査用端末10,メンテナンス用端末20,ISO監査サーバ30,データベース装置40,通信ネットワーク50を有している。
【0040】
[監査用端末10]
監査用端末10は、アセスメントの実施に用いられる端末であり、パーソナルコンピュータや、携帯電話、PHS、PDA等とすることができる。
この監査用端末10は、通信ネットワーク50を介してISO監査サーバ30からアセスメント実行画面や、アセスメント集計結果画面等を受信するとともに、質問項目に対する回答などを入力し、ISO監査サーバ30に送信する。
【0041】
[メンテナンス用端末20]
メンテナンス用端末20は、質問項目や重み付けの設定に用いられる端末であり、監査用端末10と同様に、パーソナルコンピュータや、携帯電話、PHS、PDA等とすることができる。
このメンテナンス用端末20は、通信ネットワーク50を介してISO監査サーバ30からアセスメントメンテナンス画面などを受信するとともに、新規アセスメント情報や既存アセスメントの質問項目の修正情報等を入力し、ISO監査サーバ30に送信する。
【0042】
[ISO監査サーバ30]
ISO監査サーバ30は、プログラム制御により動作し、会員認証,アセスメントの実行,アセスメントメンテナンス,アセスメント実施結果表示等を実行する情報処理装置であり、例えば、ワークステーションやサーバ、パーソナルコンピュータ等を用いることができる。
このISO監査サーバ30は、図2に示すように、会員認証部31,アセスメント実行部32,結果表示部33,アセスメントメンテナンス実行部34を有している。
【0043】
[会員認証部31]
会員認証部31は、利用できる監査者を限定する。
すなわち、監査用端末10から送信されてきた会員IDおよびパスワードにもとづいて、会員DB44を検索し、アセスメント実行部32,結果表示部33,アセスメントメンテナンス実行部34による各機能を利用することができるかどうかを判断する。
このとき、会員DB44は、各会員ごとに、上記各機能の利用権限情報を備えた会員属性情報を有しており、会員認証部31は、これにもとづき各会員の利用端末(監査用端末10)に利用可能な機能を表示し、以降認証された利用者はその機能の利用が可能となる。
【0044】
[アセスメント実行部32]
アセスメント実行部32は、被監査者に対するアセスメントを実施する。
このアセスメント実行部32は、アセスメントの実施に必要な被監査企業属性の管理機能,アセスメント実行機能,アセスメント履歴管理機能を備えている。被監査企業属性管理機能は、被監査企業の企業名、住所、電話などの基本情報の他に、業種や人員数など、アセスメントアルゴリズムや回答の重みづけに影響を与える属性も含めて、企業DB43に格納し、検索、参照する。
アセスメント実行機能は、企業DB43に登録されている企業から選択した被監査企業と、その中の監査対象となる人物の所属部署や役職などの個人属性と、実施する監査またはアセスメントの重要度のレベル情報とから、質問項目の重みづけを考慮したアセスメントのアルゴリズムを生成し、質問DB41に格納された質問項目をアルゴリズムに従って監査用端末10に表示する。また、その際、監査用端末10から入力された被監査者の回答を、履歴DB42に保存する。
アセスメント履歴管理機能は、履歴DB42上に格納されたアセスメント実施結果と、企業DB43に格納された企業情報と、質問DB41に格納された質問情報から、各企業で行われたアセスメントの履歴情報を検索、参照する。
【0045】
[結果表示部33]
結果表示部33は、アセスメント実施結果を集計表示する。
すなわち、結果表示部33は、履歴DB42に格納された一回のアセスメントの回答群を、質問DB41に登録されている配点にもとづき評価軸ごとに集計し、監査用端末10に一覧表とグラフ形式で表示する。また、アセスメント実行部32のアセスメント履歴管理機能と連携して、過去のアセスメント実施結果を同時に表示し、視覚的な比較を実現する。
【0046】
[アセスメントメンテナンス実行部34]
アセスメントメンテナンス実行部34は、質問項目やその重み付け、配点を設定する。
すなわち、アセスメントメンテナンス実行部34は、アセスメントの質問内容を質問DB41に登録、修正する。このとき、一回のISO17799監査の中で質問すべき全項目について、質問の該当するISO17799条文内の章・節、質問内容文、回答の選択肢、各回答選択肢の配点、質問自体の重み付け、質問の対象となる被監査者属性、関連質問項目を設定し、質問セットとして質問DB41に登録する。質問セットは、登録する利用者(監査者など)のノウハウや、アセスメントを実施する対象企業属性など、様々な状況に合わせていくつでも登録し、利用することができる。
【0047】
[データベース装置40]
データベース装置40は、ISO監査サーバ30により使用される記憶装置である。このデータベース装置40は、図2に示すように、ISO監査サーバ30の外部記憶装置とするほか、ISO監査サーバ30内に保有させるようにしてもかまわない。
データベース装置40は、同図に示すように、質問DB41,履歴DB42,企業DB43,会員DB44を有している。この企業DB43や会員DB44を本発明のISO監査システムとは、別個に管理される会員システムなどで利用されているものを用いるようにしてもかまわない。
【0048】
質問DB41は、重み付けや配点情報を含んだ質問データを格納する。そのデータ構造は、例えば、アセスメント名,質問タイプ,質問セットガイド説明文,質問セット利用許可者属性,質問番号,条文番号,質問文,対象者属性,重要度レベル,回答選択肢,配点,重み付け(配点または係数),評価軸,関連質問等とすることができる。質問番号,条文番号,質問文,対象者属性,重要度レベル,回答選択肢,配点,重み付け(配点または係数),評価軸,関連質問等は、複数登録することができる。
履歴DB42は、アセスメント実施結果としての回答データを格納する。
そのデータ構造は、例えば、履歴番号,ステータス,アセスメント名,バージョン,開始日,最終回答日,中断質問番号,被監査者属性,質問タイプ,アセスメントタイプ,質問番号,回答内容,得点,合計点,表示タイプ等とすることができる。質問番号,回答内容,得点等は、複数登録することができる。
企業DB43は、被監査企業情報を格納する。例えば、企業ID,各種企業属性情報,被監査者ID,各種被監査者属性情報等とすることができる。被監査者ID,各種被監査者属性情報等は、複数登録することができる。
会員DB44は、本システムを利用可能な監査者情報を格納する。例えば、会員ID,パスワード等とすることができる。
【0049】
通信ネットワーク50は、従来公知の任意好適な公衆回線、商業回線又は専用回線を用いることができる。また監査用端末10,メンテナンス用端末20,ISO監査サーバ30のそれぞれの間においては、同一又は別個の通信回線で構成することができる。
さらに、通信ネットワーク50は、監査用端末10,メンテナンス用端末20,ISO監査サーバ30のそれぞれの間を、無線あるいは有線で接続可能な回線であり、例えば、公衆回線網、専用回線網、インターネット回線網及びイントラネット網により構成することができる。
【0050】
次に、本実施形態のISO監査システムにおける処理手順について、図3〜図6を参照して説明する。図3は、本システムにおけるアセスメント実行処理手順を示す動作手順図である。図4,図5,図6は、それぞれ本システムにおけるアセスメント履歴画面および監査情報画面,アセスメント実行画面,アセスメント集計結果表示画面を示す図である。なお、図3において、スタートが「監査用端末10(ISO監査サーバ30)」となっているが、これは、入出力端末として監査用端末10が使用され、処理の実行主体がISO監査サーバ30であることを意味しており、以下に示す各処理の実行は、監査用端末10、ISO監査サーバ30、およびデータベース装置40が協働して行っている。この表示形態は、以降に示すフローチャートにおいても同様である。
【0051】
まず、アセスメント開始時に、利用者の操作により、監査用端末は、監査システム利用のための認証情報を入力し、ISO監査サーバ30の会員認証部31は、その認証機能により、会員DB44上の情報から利用者を識別し、アセスメント機能の利用が可能かどうかを判断する(図3のステップA1)。この認証は、会員IDおよびパスワードにもとづいて行うようにすることができる。
そして、認証が成功した場合、アセスメント実行部32は、アセスメント実行画面(検索/選択/登録用)を表示する(ステップA2)。
【0052】
次に、監査用端末10からの入力情報にもとづいて、ISO監査サーバ30は、監査対象の企業情報を検索する(ステップA3)。一般に、企業DB43上に複数企業が登録され、履歴DB42上に複数のアセスメント実施結果が保存されているが、それぞれを参照できる範囲は、ステップA1の認証機能を経由した監査者ごとに限定される。すなわち、ステップA3における企業情報の検索は、この権限の範囲で可能となる。さらに、ステップA3では新規に対象企業情報を登録することが可能である。
【0053】
対象企業を絞った後、その企業の過去の監査において実行されたアセスメント履歴を検索することができる(ステップA4)。このとき、監査用端末10からの要求にもとづいて、ISO監査サーバ30のアセスメント実行部32は、そのアセスメント履歴管理機能により、対象企業の企業IDにもとづいて、履歴DB42と質問DB41から過去に実行したアセスメントのメタ情報(監査情報,アセスメント対象者,利用した質問のタイプ(質問セットID等)など)を抽出し、監査用端末10に一覧表示する。図4は履歴一覧が表示されたアセスメント履歴画面を示す図である。
また、アセスメント内の1つ1つの質問への回答やその集計結果は、結果表示部33により、ステップA11において監査用端末10に表示される。
【0054】
ステップA5のアセスメント実行は、新規のアセスメント登録(ステップA6)、または、中断中のアセスメントの再開(ステップA7)のいずれかの指示により動作する。
ステップA6の新規アセスメント情報登録は、まず、監査用端末10によるアセスメントのメタ情報(日時などの監査情報,アセスメント対象者,利用する質問のタイプ(質問セットID等),アセスメントタイプ(重要度等)など)の入力情報を、ISO監査サーバ30のアセスメント実行部32が、履歴DB42に登録する。そして、ステップA8のアセスメントの全質問に対する回答が終了するか、監査用端末10から中断の指示が出されるまで、この登録を繰り返し実行する。
【0055】
また、ステップA7のアセスメント途中再開において、アセスメント実行部32は、履歴番号等にもとづいて、履歴DB42上に保存されている中断アセスメントのメタ情報と中断情報を検索して抽出し、ステップA8を呼び出す。この中断情報とは、いつ、誰が、どこまでの回答を行った状態かという情報と、「終了」または「中断」の監査進捗管理的なステータス情報を意味するものである。
図4に示す監査情報画面は、このステップA7の処理によって表示される画面であり、同図における「アセスメント開始」を押下すると、アセスメント途中再開要求が、監査用端末10からISO監査サーバ30へ送信され、ISO監査サーバ30のアセスメント実行部32が、ステップA8の処理を実行する。
【0056】
このステップA8のアセスメントの実行にあたり、アセスメント実行部32は、履歴DB42に登録された今回のアセスメント情報と、質問DB41上にあらかじめ登録されているISO17799条文に関連する質問情報と、監査用端末10から入力される被監査者の回答とにもとづいて、出題アルゴリズムの組み立てを行う。
すなわち、ステップA9において、アセスメント実行部32は、質問DB41上に登録されている複数の質問セットから、ステップA6で選択された質問セットを検索し、この質問セットにおける各質問属性にもとづいて、アセスメント対象者、および今回のアセスメントタイプに合致した質問項目を抽出して、質問番号順に質問内容を監査用端末10に表示する。図5は質問項目と回答選択肢が表示され、回答を入力後に次の質問表示を指示するアセスメント実行画面(回答用)を示している。
【0057】
ここで、出題アルゴリズムの組み立てについて、具体例を用いて説明する。
監査の対象者情報として、企業DB43に、「情報システム部門」,「ライン部門」,「スタッフ部門」,「トップ(経営者)」が登録されていたとすると、被監査者の属性が総務担当者であった場合は、ステップA3の対象企業検索において、企業ID等にもとづいて当該企業の登録情報を企業DB43から検索して抽出し、「スタッフ部門」を選択する。
さらに、アセスメント実行画面(検索/選択/登録用)上で、重要度を示す「A.大変重要なもののみ」,「B.比較的重要なものを含む」,「C.全て」の各項目のうち、「A」を選択する。
ISO監査サーバ30のアセスメント実行部32は、上記「スタッフ部門」および「A」の入力情報にもとづいて、質問DB41から「スタッフ部門」属性をもつとともに、重要度「A」に該当する質問セット群の質問だけを抽出して出題する。
【0058】
次に、重要度「A」に該当する質問セット群の質問だけを抽出して出題する処理について、具体例を用いて説明する。
この説明において、重要度の設定基準として、一問あたりの配点が、7.5点以上の場合は「A」と、5点以上7.5点未満の場合は「B」とする。
また、条文3.1.1は、満点が15点であり、次の3つの設問から構成されるものとする。
設問1 ある(5点),ない(0点),わからない(5点)
設問2 している(5点),していない(0点),わからない(5点)
設問3 明確である(5点),不明確である(0点),わからない(5点)
また、条文3.1.2は、満点が15点であり、次の2つの設問から構成されるものとする。
設問1 している(5点),していない(0点),わからない(5点)
設問2 明確である(10点),不明確である(0点),わからない(5点)
【0059】
この場合、条文3.1.1の質問セット群と条文3.1.2の質問セット群は、どちらも満点が15点であるが、一問あたりの配点は、条文3.1.1が5点、条文3.1.2が7.5点となるため、条文3.1.1は重要度「B」、条文3.1.2は重要度「A」と判定される。
したがって、この場合は、条文3.1.1の質問は、抽出されず、条文3.1.2の質問は抽出され、出題されることとなる。
なお、この例の場合は、重要度を配点にもとづいて算出する方法としたが、質問DB41に各質問ごとに重要度情報をもたせ、この重要度情報にもとづいて、上記抽出および出題処理を実行することが可能であることはいうまでもない。
【0060】
次に、ステップA10では、監査用端末10から出題された質問への回答が入力されると、アセスメント実行部32は、回答内容が影響する質問番号情報に従って出題アルゴリズムを組み直し、監査用端末10に表示すると同時に、回答内容を履歴DB42に保存する。
ここで、出題アルゴリズムを組み直しについて、具体例を用いて説明する。
例えば、ステップA3において、対象企業の検索/選択/登録を行う際に、オプションとして、「効率的なアセスメント」を選択可能とするとともに、あらかじめ質問DB41には、各質問への回答時の関連質問を登録しておくことで、回答内容によって、同じ観点からの質問をスキップするようにすることができる。
【0061】
具体的には、質問「9−13:パスワードの重要性、更新ルール等を利用者は知っているか。」に対して、回答1「知っており、遵守されている」が選択された場合は、以降に9−13との関連が設定されているパスワードの利用に関する質問、例えば、「9−16:パスワードは、他人が想像し得ない6文字以上の文字+数字を実現しているか」や、「9−17:パスワードの定期的な変更を実践しているか」を回答済み(肯定回答)としてスキップする。
回答2「知っているが遵守できていない」が選択された場合は、以降のパスワード利用に関する質問をスキップしない。
回答3「知らない」が選択された場合は、上記質問「9−16」や「9−17」を回答済み(否定回答)としてスキップする。
ただし、出題アルゴリズムを組み直しとして、このような効率的なアセスメントを用いた場合、回答内容間の矛盾がシステムにより自動的に排除されてしまうため、時間をかけずに簡易な監査を実施したい場合にのみ選択することが好ましい。
【0062】
ステップA11において、ISO監査サーバ30の結果表示部33は、履歴DB42に保存されたアセスメントに対する1つ1つの回答を、質問DB41上の評価軸と、各質問項目の回答に設定されている配点に従って集計し、一覧表およびグラフの形式で表示する。
この集計は、各質問項目の属するISO17799条文の章・節ごとの重み付け配点と、章・節内での各質問項目のレベルに対する重み付け配点と、質問への回答に設定されている配点とを加味した計算式により行われる。この重み付け配点は、質問DB41に登録されている「重み付け」をそのまま用いるのみならず、所定の属性に出題された場合にのみ適用したり、所定の属性に出題された場合には、1.5倍等にするなどといった制御を行うことができる。さらに、アセスメントタイプなどとして指定された監査の重要度に応じて、重み付け配点を使用したり、その大きさを制御することもできる。また、章・節ごとの重み付け配点は、質問DB41とは、別個のテーブルに記憶させておくこともできる。
これにより、評価軸同士のグラフ上での表現を、平準化して行うことが可能となる。図7は、アセスメント回答を集計した一覧表とグラフを表示したアセスメント集計結果表示画面である。
【0063】
ここで、集計処理について、次の具体例を用いて説明する。

Figure 2004295590
【0064】
この場合、被監査者が、スタッフ部門である場合には、A章の条文a1の設問2の肯定的回答の配点を2倍とすることが、質問DB41において、条文a1の設問2の属性情報として保有され、また、この場合、B章におけるすべての条文の設問について、肯定的回答の配点を1.5倍とすることが、質問DB41のB章における設問の属性情報として保有されている場合、A章の条文a1の設問2、およびB章の配点は、次のように重み付け換算される。
Figure 2004295590
【0065】
このとき、A章の条文a1の設問1,設問2,B章の条文b1の設問1,設問2の順に、回答として、「していない,している,わからない,している」が得られた場合、その得点は、重み付けを行わないときの配点によれば、「0,5,−5,5」となり、条文a1は、10点満点中5点で50点と、条文b1は、10点満点中0点で0点となる。
一方、上記のような重み付けが行われたときの配点によれば、その得点は、「0,10,−5,7.5」となり、条文a1は、15点満点中10点で67点と、条文b1は、15点満点中2.5点で17点となる。
【0066】
このような重み付けを用いた集計を行うことにより、属性ごとの差異をはっきりと現すことが可能となる。すなわち、被監査者の企業属性(業界・業種や規模など)や、企業内の組織属性(総務,ライン,情報システム部門など)によって、監査の観点から検討したい項目が異なっている場合に、より適切な質問、およびその集計を行うことが可能となる。特に、ネットワークセキュリティに関しては、情報部門と一般部門における意識の違いや、セキュリティの重要度とその担当者の意識のズレなどをはっきりとさせるために、重み付けによる比較を行うことが極めて有効である。
【0067】
さらに、ステップA4において表示するアセスメント履歴一覧から、ステップA11を呼び出すことにより、アセスメント実施結果としての一覧表およびグラフ表示の際に、他のアセスメント履歴の結果との比較表示が可能である。
すなわち、図4に示すアセスメント履歴画面における「結果」を押下することによって、アセスメント集計画面表示要求が、監査用端末10からISO監査サーバ30に送信され、ISO監査サーバ30の結果表示部33は、図6に示すようなアセスメント集計結果表示画面を表示する。
また、図6のアセスメント集計結果表示画面の「比較グラフ」におけるプルダウンを押下することにより、結果表示部33は、履歴DB42から同一企業内の同一部署または他の部署において実施されたアセスメントの履歴一覧を表示し、選択された履歴の一覧表やグラフを表示する。
【0068】
次に、図7を参照して、アセスメントメンテナンスについて説明する。まず、監査者などの利用者により、メンテナンス用端末20は、アセスメントメンテナンス利用のための認証情報を入力して、ISO監査サーバ30の会員認証部31による会員認証を実行する(ステップB1)。
会員認証部31は、会員DB44上の情報から利用者を識別し、メンテナンス機能の利用が可能かどうか判断後、利用可能である場合は、アセスメントメンテナンス画面を表示する(ステップB2)。そして、新規に質問セットを登録するか、既に登録されている質問情報をメンテナンスするかの選択を行う。
新規に質問セットを登録する場合は、利用者の入力により、アセスメントメンテナンス実行部34が、新たな質問セットを他の質問セットと識別するための属性として、アセスメント名と、アセスメント時に利用する質問セットの選択のガイドとなる説明文、該当質問セットの利用を許可する利用者属性などの情報を、質問DBに登録する(ステップB3)。そして、ステップB5において、質問セットを構成する1つ1つの質問の登録を繰り返す。
【0069】
ステップB2において、既に登録されている質問情報をメンテナンスすることが選択された場合は、既存質問セット内の質問項目属性修正のため、ステップB5を呼び出す(ステップB4)。ただし、この修正は、監査アセスメントで未使用の質問項目にのみ可能であり、既に履歴DB42上に利用情報が登録されている質問セットの修正は不可となるよう制御することが好ましい。
その方法としては、ステップB6の質問検索において、その質問番号などの質問を識別するための情報が、履歴DB42に登録されているかどうかを検索して確認し、登録されている場合には、修正/削除ができないことをメッセージ表示するようにすることなどができる。
【0070】
次に、ステップB5の質問項目メンテナンスにおいて、ISO監査サーバ30のアセスメントメンテナンス実行部34は、ISO17799条文の章・節の検索と、それに属する質問項目の検索および属性の表示と、質問項目属性の質問DB41への登録を行う。
具体的には、ステップB6において、ISO17799条文そのものをXML形式で格納する条文DBから条文構成を階層表示し、メンテナンス用端末20からメンテナンス対象となる質問項目の属する章・節番号を入力する。
【0071】
次に、アセスメントメンテナンス実行部34は、入力した章・節番号に属する質問項目の有無を、質問DB41を検索して確認し、存在する場合、その質問項目を編集可能な状態でメンテナンス用端末20に表示する。存在しない場合は、ブランク状態のアセスメントメンテナンス画面(質問項目属性入力画)を表示する(ステップB6)。
次に、このアセスメントメンテナンス画面から、質問項目属性として、質問文、質問対象者属性、重要度レベル、集計時の評価軸、回答選択肢群、各回答配点などを入力し、対応するISO17799条文の章・節情報と併せて質問DB41に登録する(ステップB7)。図8は、このアセスメントメンテナンス画面の例を示している。
なお、同図に示すように、ISOの監査においては、Yes/Noでは回答できない部分が多いため、回答の選択肢として、「分からない」や対象外の回答を設定可能とすることが好ましい。
【0072】
以上説明したように、本実施形態のISO監査システムによれば、質問項目に被監査者の属性に応じた重み付けや、監査の重要度に応じた重み付けを設定することができ、監査者によるその監査の重要度や被監査者の状況に応じたアセスメントの実施レベルの選択にもとづいて、最適なアセスメントの出題アルゴリズムを自動生成することができる。
このため、監査者は、監査そのものに集中しながら進行を図ることができるとともに、監査をより柔軟かつ効率的に実施することが可能となる。
【0073】
また、本実施形態のISO監査システムによれば、監査の精度をあげることができる。すなわち、被監査者の属性に応じて、アセスメントで出題される質問内容と、回答に対する配点とに重み付けを考慮することができるため、同一企業内においても被監査者属性ごとに内容の濃い回答を得ることが可能となる。また、回答の集計が回答数ではなく、重み付けによる配点で行われるため、同一被監査組織内における複数人物の監査結果の比較、分析を定量的に行うことが可能となる。
【0074】
さらに、ISO監査のアセスメント実施結果を即時に表示することにより、短時間での診断を行うことが可能となる。すなわち、アセスメントによる得点は、質問DB41上のISO条文に設定した配点と、回答を即時に格納する履歴DB42上のデータとにより自動集計することができ、回答直後に集計結果の一覧表示およびグラフ表示を行うことができる。このため、過去の同一部署におけるアセスメント実施結果や、同一企業内の他の部署におけるアセスメント実施結果との比較グラフも即時に表示可能なため、情報セキュリティレベルやポリシー遵守レベルの比較診断を、その場で即時行うことが可能となる。
【0075】
また、本実施形態のISO監査システムによれば、周到な準備時間や監査ノウハウが無い監査者がアセスメントを実施しても、アセスメント実施結果の出力内容に差がでないという効果が得られる。すなわち、アセスメント用質問セットの共有が可能であるとともに、重み付けを考慮して適切に自動生成されたアルゴリズムに従ってアセスメントを進めることができるため、経験の浅い監査者であっても、熟練者のノウハウを利用したアセスメントを実施することが可能となる。このため、本実施形態のISO監査システムは、監査者による監査という本来の利用目的以外に、被監査企業が情報セキュリティの自己診断として行うセルフアセスメントや、ISO監査内容の学習や啓蒙教育などにも利用することが可能である。
【0076】
[第二実施形態]
次に、本発明の第二実施形態について、図9を参照して説明する。同図は、本実施形態のISO監査システムにおけるアセスメント処理手順を示すフローチャートである。
本実施形態は、アセスメント分析機能により、複数企業の監査結果の集計表示による傾向分析を行うことができる点で第一実施形態と異なる。すなわち、本発明では、アセスメント回答の重み付け配点による集計を可能としているため、複数の企業の複数対象者に対して行った複数のアセスメント実施結果を、企業属性別、対象者属性別に集計したグラフと一覧形式で表示することが可能である。
このアセスメント分析機能は、ISO監査サーバ30のアセスメント実行部32および結果表示部33により実現させることができる。その他の点については、第一実施形態と同様であり、本実施形態のブロック図も図2と同様のものとすることができる。
【0077】
図9は、図3に示すアセスメント処理手順の会員認証(ステップA1)の後に、アセスメント実行画面表示を選択するのではなく、アセスメント分析画面を表示する処理を選択した場合の処理フローを示すものである。
アセスメント実行部32は、企業DB43に登録されている情報から、分析対象となる企業属性(業種、業態、規模など)を抽出して、アセスメント分析画面に表示する。そして、分析対象としたい属性を選択入力可能とする。
これに対して、監査者は、監査用端末10から、属性を選択入力してISO監査サーバ30に送信し、ISO監査サーバ30のアセスメント実行部32は、この選択入力された属性にもとづいて、企業DB43からこの属性をもつ企業を抽出する。また、ステップC2において、対象者属性(所属部署や役職など)という切り口を選択して抽出することも可能である。
【0078】
次に、結果表示部33は、抽出された企業の企業ID等にもとづいて、対象企業の履歴DB42上のアセスメント実施結果を、質問項目別、評価軸別に重み付けに従って集計し、結果グラフとして表示する(ステップC3)。あるいは対象者属性まで指定されていた場合、結果表示部33は、アセスメント実施結果として、履歴DB42上の対象者属性別に集計する。
以上説明したように、本実施形態のISO監査システムによれば、企業属性や対象者属性にもとづいて、情報セキュリティアセスメントでの傾向分析を容易に行うことが可能となる。
【0079】
上記の実施形態におけるアセスメントの出題アルゴリズムの生成や、アセスメント実施結果の集計等は、ISO監査プログラムにより実行される。
このISO監査プログラムは、コンピュータの各構成要素に指令を送り、所定の処理、例えば、アセスメントの出題アルゴリズムの生成処理や、アセスメント実施結果の集計処理等を行わせる。
これによって、これらの処理は、ISO監査プログラムとコンピュータとが協働したISO監査サーバ30などにより実現される。
【0080】
なお、ISO監査プログラムは、コンピュータのROMやハードディスクに記憶させる他、コンピュータ読み取り可能な記録媒体、たとえば、外部記憶装置及び可搬記録媒体等に格納することができる。
外部記憶装置とは、磁気ディスク等の記録媒体を内蔵し、例えばISO監査サーバ30などに外部接続される記憶増設装置をいう。一方、可搬記録媒体とは、記録媒体駆動装置(ドライブ装置)に装着でき、かつ、持ち運び可能な記録媒体であって、たとえば、CD−ROM、フレキシブルディスク、メモリカード、光磁気ディスク等をいう。
【0081】
そして、記録媒体に記録されたプログラムは、コンピュータのRAMにロードされて、CPUにより実行される。この実行により、上述した本実施形態のISO監査サーバ30の機能が実現される。
さらに、コンピュータでISO監査プログラムをロードする場合、他のコンピュータで保有されたISO監査プログラムを、通信回線を利用して自己の有するRAMや外部記憶装置にダウンロードすることもできる。
このダウンロードされたISO監査プログラムも、CPUにより実行され、本実施形態のアセスメントの出題アルゴリズムの生成処理や、アセスメント実施結果の集計処理等を実現する。
【0082】
なお、本発明は以上の実施形態に限定されるものではなく、本発明の範囲内において、種々の変更実施が可能であることは言うまでもない。
例えば、出題アルゴリズムの自動生成やアルゴリズムの組み直しにおける詳細な処理手順は、上述の方法に限定されるものではなく、適宜設計変更することが可能である。また、本発明のISO監査システムを、ISO監査に限らず、他の監査に適用することも可能ある。さらに、本発明の目的を実現可能な範囲内で、フローチャートにおいて、アクセスするDBを増加したり、DBからの抽出項目やDBへの登録項目を変更するといった各処理の詳細な内容変更や、ブロック図の構成要素の分離・併合などの設計変更を行うことも可能である。
【0083】
【発明の効果】
以上のように、本発明によれば、質問項目に被監査者の属性に応じた重み付けや、監査の重要度に応じた重み付けを設定することができ、監査者によるその監査の重要度や被監査者の状況に応じたアセスメントの実施レベルの選択にもとづいて、最適なアセスメントの出題アルゴリズムを自動生成することができる。
このため、監査者は、監査そのものに集中しながら進行を図ることができるとともに、監査をより柔軟かつ効率的に実施することが可能となる。
【0084】
また、本実施形態のISO監査システムによれば、監査の精度をあげることができる。すなわち、被監査者の属性に応じて、アセスメントで出題される質問内容と、回答に対する配点とに重み付けを考慮することができるため、同一企業内においても被監査者属性ごとに内容の濃い回答を得ることが可能となる。また、回答の集計が回答数ではなく、重み付けによる配点で行われるため、同一被監査組織内における複数人物の監査結果の比較、分析を定量的に行うことが可能となる。
【0085】
さらに、ISO監査のアセスメント実施結果を即時に表示することにより、短時間での診断を行うことが可能となる。すなわち、アセスメントによる得点は、質問DB上のISO条文に設定した配点と、回答を即時に格納する履歴DB上のデータとにより自動集計することができ、回答直後に集計結果の一覧表示およびグラフ表示を行うことができる。このため、過去の同一部署におけるアセスメント実施結果や、同一企業内の他の部署におけるアセスメント実施結果との比較グラフも即時に表示可能なため、情報セキュリティレベルやポリシー遵守レベルの比較診断を、その場で即時行うことが可能となる。
【0086】
また、本実施形態のISO監査システムによれば、周到な準備時間や監査ノウハウが無い監査者がアセスメントを実施しても、アセスメント実施結果の出力内容に差がでないという効果が得られる。すなわち、アセスメント用質問セットの共有が可能であるとともに、重み付けを考慮して適切に自動生成されたアルゴリズムに従ってアセスメントを進めることができるため、経験の浅い監査者であっても、熟練者のノウハウを利用したアセスメントを実施することが可能となる。このため、本実施形態のISO監査システムは、監査者による監査という本来の利用目的以外に、被監査企業が情報セキュリティの自己診断として行うセルフアセスメントや、ISO監査内容の学習や啓蒙教育などにも利用することが可能である。
さらに、企業属性や対象者属性にもとづいて、複数の企業や対象者のアセスメント実施結果の比較を行うことができるため、情報セキュリティアセスメントでの傾向分析を容易に行うことが可能となる。
【0087】
また、ISO監査プログラムは、コンピュータの各構成要素へ所定の指令を送ることにより、このアセスメントの出題アルゴリズムの生成機能や、アセスメント実施結果の集計機能等を実現させることができる。
これによって、これらの機能等は、ISO監査プログラムとコンピュータとが協働したISO監査サーバにより実現可能である。
【図面の簡単な説明】
【図1】本発明の第一実施形態のISO監査システムの概略図である。
【図2】本発明の第一実施形態のISO監査システムの構成を示すブロック図である。
【図3】本発明の第一実施形態のISO監査システムにおけるアセスメント処理手順を示すフローチャートである。
【図4】本発明の第一実施形態のISO監査システムにおけるアセスメント履歴画面および監査情報画面を示す図である。
【図5】本発明の第一実施形態のISO監査システムにおけるアセスメント実行画面(回答用)を示す図である。
【図6】本発明の第一実施形態のISO監査システムにおけるアセスメント集計結果表示画面を示す図である。
【図7】本発明の第二実施形態のISO監査システムにおけるアセスメントメンテナンス処理手順を示すフローチャートである。
【図8】本発明の第一実施形態のISO監査システムにおけるアセスメントメンテナンス画面を示す図である。
【図9】本発明の第二実施形態のISO監査システムにおけるアセスメント処理手順を示すフローチャートである。
【符号の説明】
10 監査用端末
20 メンテナンス用端末
30 ISO監査サーバ
31 会員認証部
32 アセスメント実行部
33 結果表示部
34 アセスメントメンテナンス実行部
40 データベース装置
41 質問DB
42 履歴DB
43 企業DB
44 会員DB
50 通信ネットワーク[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to an audit system, a method, a server, and a program that automatically generate an assessment question algorithm in an audit, and perform appropriate comparison and display of a plurality of algorithm results by weighted aggregation.
[0002]
[Prior art]
Conventionally, assessment in an ISO (International Organization for Standardization) audit has required an individual auditor's know-how, an enormous preparation time, and a result analysis time.
That is, based on a sufficient understanding of the ISO provisions, individual assessment items are created each time an audit is performed in consideration of the attributes of the company to be audited and the attributes of the subjects.
Further, the conventional information security audit system provides an automatic security diagnosis based on the input of the audit target system information of the audited company (for example, refer to Patent Document 1). It did not provide a means for conducting audits in accordance with the attributes of the above or analyzing the results of human responses.
On the other hand, there has been proposed an audit system capable of improving the quality and productivity of an audit by recording and analyzing an audit result based on quantitative information (for example, see Patent Document 2).
[0003]
[Patent Document 1]
JP 2001-273388 A
[Patent Document 2]
JP 2001-350910 A
[0004]
[Problems to be solved by the invention]
However, even with such a conventional audit system, an inexperienced person cannot execute an audit with high quality.
That is, according to the conventional audit system, the analysis accuracy of the audit result can be improved, but it does not support how to carry out the assessment.
[0005]
The present invention has been made in view of the above circumstances, and in an audit, an auditing system and method capable of automatically generating an assessment question algorithm and performing appropriate comparison display of a plurality of algorithm results by weighting and aggregation. , Servers and programs.
[0006]
[Means for Solving the Problems]
In order to achieve the above object, an audit system according to claim 1 of the present invention is an audit system having an audit terminal and an audit server connected via a communication network, wherein the audit server performs an assessment, Based on the information of the assessment registered in the history DB, the question information related to the ISO provisions registered in the question DB, and the answer of the auditee received from the audit terminal, an algorithm for asking questions is assembled. At the same time, a question is transmitted to the inspection terminal according to the question algorithm, and the inspection terminal displays the transmitted question and transmits an answer to the question to the audit server.
[0007]
If the auditing system is configured as described above, in performing the assessment, information for selecting a question of the assessment is extracted from the history DB, and a question necessary for the assessment is extracted from the question DB. A question algorithm can be automatically generated. In addition, in accordance with a response from the auditing terminal, a question to be set later can be asked, and the algorithm can be rearranged.
Therefore, the inspector can concentrate on the audit itself and proceed with the progress, and can perform the audit more flexibly and efficiently.
In addition, even an inexperienced auditor can perform an assessment using the know-how of a skilled person.
[0008]
The audit system according to claim 2 of the present invention is characterized in that the audit server sets the question set based on the question type in the information of the assessment registered in the history DB from one or more question sets registered in the question DB. To extract the question items whose attribute of each question item in the searched question set matches the auditee and the assessment type in the information of the assessment, and sorts the extracted question items in order of the question number. It is configured to transmit to an audit terminal.
[0009]
With this configuration of the audit system, appropriate questions are extracted from the question DB based on the question set, the attributes of the auditee, and the assessment type for identifying the importance of the assessment, and the question algorithm is configured. can do.
For this reason, it becomes possible to flexibly configure an appropriate question algorithm according to the audited company, the auditee, and the like.
[0010]
In the audit system according to claim 3 of the present invention, based on the answer received from the audit terminal, the audit server determines whether the question related to the question corresponding to the answer in the question DB is an affirmative answer or A question answering algorithm is simulated by assuming that a negative answer is obtained, a question is transmitted to the audit terminal according to the reassembled questioning algorithm, and the answer and the simulated answer are stored in the history DB.
[0011]
If the auditing system is configured as described above, in the question DB, a question in which a related question is registered is assumed to have been answered as a related question in response to an answer from the auditing terminal. The question algorithm can be reconfigured. For this reason, the question algorithm can be flexibly configured based on the answer of the subject.
[0012]
The audit system according to claim 4 of the present invention is characterized in that, in response to the answer received from the audit terminal, the audit server assigns a question corresponding to the answer, a weighted score set to the question, and a chapter of the ISO article. Alternatively, a score is calculated based on a weighted score set for each node, and the scores are totaled for each evaluation axis of each question registered in the question DB.
[0013]
With this configuration of the auditing system, when totaling the answers to the questions according to the automatically generated question algorithm, the weighting of each question item according to the auditee's attribute and the importance of the audit A corresponding weight can be set.
For this reason, an optimal assessment question algorithm can be automatically generated based on the auditor's selection of the assessment execution level (assessment type) according to the importance of the audit and the situation of the auditee.
Further, by performing the aggregation using such weighting, it is possible to appropriately compare the assessment execution results for each auditee attribute even within the same company.
[0014]
The audit system according to claim 5 of the present invention is configured such that the audit server displays the total result of each evaluation axis in at least a list or a graph format.
With such a configuration of the audit system, the balance of each evaluation axis can be displayed in a list or a graph.
For this reason, it is possible to determine at a glance which area is a problem in the total management standard required by the ISO.
[0015]
The audit system according to claim 6 of the present invention is characterized in that the audit server has the company or the subject having the company attribute or the subject attribute from the company DB based on the company attribute or the subject attribute received from the audit terminal. Is extracted from the history DB, and the score of each evaluation axis is totaled.
[0016]
With this configuration of the audit system, not only can the results of assessments with other companies be compared, but also within the same company, graphs and the contents of each response can be used to show differences in security awareness among personnel and organizations, etc. Can be compared and analyzed.
Therefore, it is possible to clarify such contradictions within the same company.
In addition, since the past results can be compared with the graph, it is possible to confirm the transition of the level of the security standard at a glance.
Furthermore, it is also possible to summarize the results for each type of business / industry or each organizational attribute and compare them in a graph.
[0017]
In the audit system according to claim 7 of the present invention, a maintenance terminal is connected to the audit server via a communication network, and the maintenance terminal inputs an ISO article number corresponding to a question item to be maintained by the audit server. In addition to displaying the question item edit screen received from the audit server and transmitting the edited and edited question item to the audit server, the audit server sends a question based on the article number received from the maintenance terminal. The DB is searched, and if there is a question item corresponding to the article number, a question item edit screen displaying this question item is displayed. If there is no question item corresponding to the article number, a blank question item is displayed. The editing screen is sent to the maintenance terminal, and the edited and input question items received from the maintenance terminal There is a structure in which to save the DB.
[0018]
With such a configuration of the audit system, it is possible to easily create, edit, and register a question for each ISO provision from the maintenance terminal in the audit server.
Then, the question item created / edited in this way can be used in the assessment through the generation and reassembly of the above-described question algorithm.
[0019]
The audit method according to claim 8 of the present invention is an audit method using an audit terminal and an audit server connected via a communication network, wherein the audit server is registered in a history DB when performing the assessment. Based on the information of the assessment, the question information related to the ISO provisions registered in the question DB, and the answer of the auditee received from the audit terminal, a question question algorithm is assembled, and the question algorithm is The question is transmitted to the auditing terminal, and the auditing terminal displays the transmitted question and transmits an answer to the question to the audit server.
[0020]
If the auditing method is set to such a method, the inspector can execute the assessment in accordance with the questioning algorithm automatically generated by the auditing server reflecting the expert's auditing know-how.
For this reason, even an inexperienced auditor can perform an audit with the same quality as an expert.
[0021]
The audit method according to claim 9 of the present invention is characterized in that the audit server sets a question set based on a question type in information of the assessment registered in the history DB from one or more question sets registered in the question DB. To extract the question items whose attribute of each question item in the searched question set matches the auditee and the assessment type in the information of the assessment, and sorts the extracted question items in order of the question number. Send to the audit terminal, the audit terminal sends the answer to the received question item to the audit server, based on the received answer, the audit server, based on the received answer, the relevant question of the question corresponding to the answer in the question DB , Simulate that a positive or negative answer was obtained according to the answer content, reconfigured the question question algorithm, and Questions accordance question algorithm and transmits to the audit terminal has, is a way to store answers responded and constructive in the history DB.
[0022]
If the audit method is set to such a method, among the question sets having the question type selected by the auditor and registered in the history DB, the audit server determines the attributes of the auditee and the importance of the assessment. The assessment can be performed according to the question algorithm composed of the questions extracted based on the question, and the question algorithm can be reconfigured according to the answer from the auditee.
For this reason, the inspector does not spend much time in creating the question algorithm as in the related art, and can concentrate on the audit itself and improve the quality of the audit. In addition, even if an auditor who does not have a thorough preparation time or audit know-how performs an assessment, there is an effect that there is no difference in the output contents of the assessment result.
[0023]
The audit method according to claim 10 of the present invention is characterized in that, in response to the answer received from the audit terminal, the audit server assigns a question corresponding to the answer, a weighted score set to the question, and a chapter of the ISO article. Alternatively, the score is calculated based on the weighted score set for each node, and the scores are totaled for each evaluation axis of each question registered in the question DB.
[0024]
With such an auditing method, a weighted score can be taken into account in totaling the results of the assessment.
For this reason, it is possible to more effectively incorporate the expert's audit know-how into the generation of the question algorithm, and it is possible to more appropriately perform the comparison between the auditees.
[0025]
An audit server according to claim 11 of the present invention is an audit server that transmits a question for an audit and an assessment execution result to an audit terminal via a communication network, and transmits question data including weighting and allocation information. Search for the question DB to be stored, the history DB to store the answer data as the result of the assessment, the member DB to store the auditor information to perform the audit, and the member DB based on the member ID and the password received from the terminal for audit. A member authentication unit that performs authentication based on whether or not the member ID and the password are registered in the member DB, information of the assessment registered in the history DB, and information registered in the question DB when performing the assessment. Based on the question information related to the ISO provisions and the auditee's response received from the audit terminal, An assessment execution unit that assembles a question algorithm and transmits a question to the audit terminal according to the question algorithm, and a result of transmitting an assessment total screen that displays an assessment execution result to the audit terminal based on a request from the audit terminal. And a display unit.
[0026]
With such a configuration of the audit server, it is possible to automatically generate a question algorithm incorporating the expert know-how of the expert.
For this reason, it is possible to prevent a situation in which a difference in assessment execution results occurs between auditors due to a difference in audit preparation and audit skills, and to perform a high-quality audit in a short period of time.
[0027]
In the audit server according to the twelfth aspect of the present invention, the assessment execution means may execute a question based on a question type in information of the assessment registered in the history DB from one or more question sets registered in the question DB. Searches the set, extracts the question items whose attribute of each question item in the searched question set matches the auditee and the assessment type in the assessment information, and sorts the extracted question items in order of question number Based on the answer corresponding to the question item received from the audit terminal, the relevant question of the question corresponding to the answer in the question DB may be sent as an affirmative answer or a negative answer according to the answer content. Assuming that it was obtained, reconfigure the question question algorithm, and monitor the question according to the reconfigured question algorithm. Sends to use the terminal, it is constituted to store an answer that responded and constructive in the history DB.
[0028]
With this configuration of the audit server, a question algorithm can be extracted from the question DB based on the question type, the auditee's attribute, the importance of the assessment, and the like, and a question algorithm can be configured. Thus, the question algorithm can be reconfigured.
For this reason, it is possible to flexibly configure a question algorithm according to the importance of the audit, the situation of the auditee, and the like in consideration of the contents of the answer.
[0029]
In the audit server according to the thirteenth aspect of the present invention, the result display unit assigns, to the answer received from the audit terminal, a score for a question corresponding to the answer, a weighted score set for the question, and an ISO clause. Calculate the score based on the weighted score set for each chapter or section, and summarize the score for each evaluation axis of each question registered in the question DB to create at least a list or graph Then, the list or graph is transmitted to the inspection terminal.
[0030]
With this configuration of the audit server, it is possible to set weights for the question items and the like according to the attributes of the auditee. In addition, the totaling result can be displayed in a list or a graph in consideration of the weight.
For this reason, the difference between the attributes of the auditee can be emphasized, and a shift in the consciousness between the auditees can be clearly grasped.
[0031]
An audit program according to claim 14 of the present invention is an audit program that causes an audit terminal to transmit an inquiry question and an assessment execution result to an audit terminal via a communication network. From one or more question sets registered in the DB, a question set is searched based on the question type in the information of the assessment registered in the history DB, and the attribute of each question item in the searched question set is changed. Question items matching the assessment type in the information of the auditee and the assessment, the extracted question items are rearranged in the order of the question number, transmitted to the audit terminal, and the question items received from the audit terminal. Based on the answer corresponding to the question, the related question of the question corresponding to the answer in the question DB is Depending on the situation, the answer is simulated as a positive or negative answer, and the question algorithm is reconfigured.The question is transmitted to the audit terminal according to the reconfigured question algorithm, and the answer and the simulated answer are Is stored in the history DB.
[0032]
With such a configuration of the audit program, it is possible to cause the audit server to extract a question from the question DB based on the question type, the attribute of the auditee, the importance of the assessment, and the like, and to configure a question algorithm. Based on the answer, the question algorithm can be reconfigured, and the question algorithm according to the importance of the audit and the situation of the auditee can be flexibly configured in consideration of the answer content. It becomes possible.
[0033]
An audit program according to a fifteenth aspect of the present invention is characterized in that, in response to a response received from an audit terminal, an audit server assigns a score to a question corresponding to the answer, a weighted score set to the question, The score is calculated based on the weighted score set for each chapter or section, and the scores are totaled for each evaluation axis of each question registered in the question DB.
[0034]
If the audit program is configured in this way, the audit server can set weights for question items, etc. according to the auditee's attributes, etc., and take the weights into account and display the total results in a list or graph Therefore, it is possible to highlight differences between the attributes of the auditee for each attribute, and to clearly grasp a shift in consciousness among the auditees.
[0035]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, embodiments of the present invention will be described with reference to the drawings.
[First embodiment]
First, the operation of the ISO audit system according to the first embodiment of the present invention will be described with reference to FIG. FIG. 1 is a schematic diagram of the ISO audit system of the present embodiment.
In the following embodiment, the ISO audit system is assumed to execute the ISO 17799 audit. However, the present invention is not limited to this, and may be applied to other audits and other versions of the ISO audit. it can.
[0036]
As shown in the figure, when performing the assessment, the inspector conducts a hearing to the auditee using the assessment execution function of the ISO audit system to perform security diagnosis and advice.
In this hearing, a question item related to ISO17799 provided in advance by the present system can be used, or a new question item can be set and used. For the question item, it is possible to set a weight according to the attribute of the audited company and the attribute of the subject person and to set the importance as a question in the ISO article.
When performing the assessment as an ISO audit, the auditor registers attributes such as the type of business of the audited company and the number of employees in the system, and also registers the attributes of the audited person such as the affiliation and position of the audited person.
[0037]
Then, in the hearing, the question is developed by the questioning algorithm created based on the audited company attribute, the auditee attribute, and the weighting of the preset question items. In addition, by selecting an assessment level at the start of each assessment, questions are developed according to whether the assessment is a detailed assessment based on all question items or a simple assessment of only important questions. Further, the question items, their weights, importance, and the like can be added, changed, deleted, etc. by the assessment maintenance execution function in the ISO audit system.
[0038]
After a series of assessments for the auditee at the auditee company are completed, the response results are aggregated according to the evaluation axes and the points assigned to the questions provided by the system or set by the auditor, and graphs and Displayed in list format.
The evaluation axis indicates the category into which the score is to be classified at the time of counting. For example, the title itself of the chapter of the text of the ISO itself (1. security policy, 2. security organization,...) , 9. access control, etc.). In addition, evaluation axes (information assets, vulnerabilities, threats, etc.) from the viewpoint of risk analysis given in security can be cited.
In addition, the right to use the assessment execution function, the assessment maintenance execution function, and the assessment execution result totaling function in the ISO audit system is restricted by a member authentication function based on member information managed in a member management system or the like.
[0039]
[ISO audit system]
Next, the configuration of the ISO audit system according to the first embodiment of the present invention will be described with reference to FIG. FIG. 1 is a block diagram showing the configuration of the ISO audit system of the present embodiment.
As shown in FIG. 2, the ISO audit system according to the present embodiment includes an audit terminal 10, a maintenance terminal 20, an ISO audit server 30, a database device 40, and a communication network 50.
[0040]
[Audit terminal 10]
The inspection terminal 10 is a terminal used for performing an assessment, and may be a personal computer, a mobile phone, a PHS, a PDA, or the like.
The audit terminal 10 receives an assessment execution screen, an assessment result screen, and the like from the ISO audit server 30 via the communication network 50, inputs an answer to a question item, and transmits the same to the ISO audit server 30.
[0041]
[Maintenance terminal 20]
The maintenance terminal 20 is a terminal used for setting a question item and weighting, and can be a personal computer, a mobile phone, a PHS, a PDA, or the like, like the inspection terminal 10.
The maintenance terminal 20 receives an assessment maintenance screen and the like from the ISO audit server 30 via the communication network 50, inputs new assessment information, correction information of a question item of an existing assessment, and the like, and transmits the information to the ISO audit server 30. I do.
[0042]
[ISO Audit Server 30]
The ISO audit server 30 is an information processing device that operates under program control and executes member authentication, assessment execution, assessment maintenance, assessment execution result display, and the like. For example, a workstation, server, personal computer, or the like may be used. it can.
As shown in FIG. 2, the ISO audit server 30 includes a member authentication unit 31, an assessment execution unit 32, a result display unit 33, and an assessment maintenance execution unit 34.
[0043]
[Member authentication unit 31]
The member authentication unit 31 limits available auditors.
That is, based on the member ID and the password transmitted from the audit terminal 10, the member DB 44 is searched, and each function of the assessment execution unit 32, the result display unit 33, and the assessment maintenance execution unit 34 can be used. Judge whether or not.
At this time, the member DB 44 has, for each member, member attribute information including use authority information of each of the above-described functions, and the member authentication unit 31 determines based on the member's use terminal (the audit terminal 10 )), The available functions are displayed, and the user who has been authenticated thereafter can use the functions.
[0044]
[Assessment execution unit 32]
The assessment execution unit 32 performs an assessment on the auditee.
The assessment execution section 32 has a function of managing audited company attributes, an assessment execution function, and an assessment history management function necessary for performing an assessment. The audited company attribute management function includes not only basic information such as the company name, address, and telephone of the audited company, but also the attributes such as the type of business and the number of employees that affect the assessment algorithm and the weight of the answer. Store, search and reference.
The assessment execution function includes an audited company selected from the companies registered in the company DB 43, personal attributes such as a department and a position of a person to be audited in the audited company, and a level of importance of the audit or assessment to be performed. Based on the information, an assessment algorithm that takes into account the weight of the question items is generated, and the question items stored in the question DB 41 are displayed on the inspection terminal 10 according to the algorithm. At this time, the response of the auditee input from the inspection terminal 10 is stored in the history DB 42.
The assessment history management function searches the history information of the assessments performed in each company from the assessment execution results stored in the history DB 42, the company information stored in the company DB 43, and the question information stored in the question DB 41. ,refer.
[0045]
[Result display unit 33]
The result display unit 33 totalizes and displays the results of the assessment.
That is, the result display unit 33 tabulates the answer group of one assessment stored in the history DB 42 for each evaluation axis based on the score registered in the question DB 41, and displays the list and the graph format in the auditing terminal 10. To display. Also, in cooperation with the assessment history management function of the assessment execution unit 32, the past assessment execution results are simultaneously displayed, and a visual comparison is realized.
[0046]
[Assessment Maintenance Execution Unit 34]
The assessment maintenance execution unit 34 sets the question items, their weights, and points.
That is, the assessment maintenance execution unit 34 registers and corrects the content of the question of the assessment in the question DB 41. At this time, for all the items to be asked in one ISO 17799 audit, the chapters / sections in the applicable ISO 17799 article, the question contents, the answer options, the points of each answer option, the weight of the question itself, the question Auditee attributes and related question items to be set are set and registered in the question DB 41 as a question set. Any number of question sets can be registered and used according to various situations, such as the know-how of the user (such as an auditor) to be registered and the attributes of the target company for which the assessment is performed.
[0047]
[Database device 40]
The database device 40 is a storage device used by the ISO audit server 30. As shown in FIG. 2, the database device 40 may be an external storage device of the ISO audit server 30, or may be held in the ISO audit server 30.
The database device 40 includes a question DB 41, a history DB 42, a company DB 43, and a member DB 44, as shown in FIG. The company DB 43 and the member DB 44 may be those used in a member system managed separately from the ISO audit system of the present invention.
[0048]
The question DB 41 stores question data including weighting and score information. The data structure includes, for example, assessment name, question type, question set guide explanation, question set use permitted attribute, question number, article number, question text, target person attribute, importance level, answer choice, score, weighting ( Score or coefficient), evaluation axis, related question, etc. A plurality of question numbers, article numbers, question texts, target person attributes, importance levels, answer options, points, weights (points or coefficients), evaluation axes, related questions, and the like can be registered.
The history DB 42 stores answer data as an assessment execution result.
The data structure includes, for example, history number, status, assessment name, version, start date, last response date, interrupted question number, auditee attribute, question type, assessment type, question number, answer content, score, total score, It can be a display type or the like. A plurality of question numbers, answer contents, scores, and the like can be registered.
The company DB 43 stores audited company information. For example, it may be a company ID, various company attribute information, an auditee ID, various auditee attribute information, and the like. A plurality of auditee IDs, various auditee attribute information, and the like can be registered.
The member DB 44 stores auditor information that can use this system. For example, it can be a member ID, a password, or the like.
[0049]
As the communication network 50, any known public line, commercial line or dedicated line known in the art can be used. In addition, each of the inspection terminal 10, the maintenance terminal 20, and the ISO audit server 30 can be configured with the same or separate communication lines.
Further, the communication network 50 is a line capable of connecting each of the auditing terminal 10, the maintenance terminal 20, and the ISO auditing server 30 by wireless or wire, such as a public line network, a dedicated line network, and an Internet line. It can be composed of a network and an intranet network.
[0050]
Next, a processing procedure in the ISO audit system according to the present embodiment will be described with reference to FIGS. FIG. 3 is an operation procedure diagram showing an assessment execution processing procedure in the present system. FIGS. 4, 5, and 6 are diagrams showing an assessment history screen, an audit information screen, an assessment execution screen, and an assessment result display screen, respectively, in the present system. In FIG. 3, the start is “audit terminal 10 (ISO audit server 30)”, but the audit terminal 10 is used as an input / output terminal, and the subject of execution of the process is the ISO audit server 30. The execution of each process described below is performed in cooperation with the auditing terminal 10, the ISO audit server 30, and the database device 40. This display form is the same in the following flowcharts.
[0051]
First, at the start of the assessment, the auditing terminal inputs authentication information for using the auditing system by a user's operation, and the member authentication unit 31 of the ISO audit server 30 uses the authentication function to execute the information on the member DB 44. Then, it is determined whether or not the user can use the assessment function (step A1 in FIG. 3). This authentication can be performed based on the member ID and the password.
If the authentication is successful, the assessment execution unit 32 displays an assessment execution screen (for search / selection / registration) (step A2).
[0052]
Next, based on the input information from the audit terminal 10, the ISO audit server 30 searches for company information to be audited (step A3). Generally, a plurality of companies are registered in the company DB 43 and a plurality of assessment execution results are stored in the history DB 42. However, the range in which each can be referred to is limited for each auditor who has passed the authentication function in step A1. . That is, the search for the company information in step A3 is possible within the range of this authority. Further, in step A3, it is possible to newly register target company information.
[0053]
After narrowing down the target company, it is possible to search the history of the assessments performed in the past audit of that company (step A4). At this time, based on the request from the auditing terminal 10, the assessment execution unit 32 of the ISO audit server 30 uses the assessment history management function to execute a past execution from the history DB 42 and the question DB 41 based on the company ID of the target company. The meta information of the assessment (audit information, the person to be assessed, the type of question used (question set ID, etc.), etc.) is extracted and displayed on the audit terminal 10 in a list. FIG. 4 is a diagram showing an assessment history screen on which a history list is displayed.
In addition, the answer to each question in the assessment and the result of the aggregation are displayed on the audit terminal 10 by the result display unit 33 in step A11.
[0054]
The assessment execution in step A5 is operated by an instruction to register a new assessment (step A6) or to restart the suspended assessment (step A7).
The registration of the new assessment information in step A6 is performed by first performing the meta information of the assessment by the auditing terminal 10 (audit information such as date and time, the person to be assessed, the type of question to be used (question set ID, etc.), the assessment type (importance, etc.)). ) Is registered in the history DB 42 by the assessment execution unit 32 of the ISO audit server 30. Then, this registration is repeatedly executed until the answers to all the questions of the assessment in step A8 are completed or until the auditing terminal 10 issues an interruption instruction.
[0055]
Further, in the resumption of the middle of the assessment in step A7, the assessment execution unit 32 searches and extracts meta information and interruption information of the interruption assessment stored in the history DB 42 based on the history number and the like, and calls step A8. . The interruption information means information on when and who made the answer and when, and status information on audit progress management such as “end” or “interruption”.
The audit information screen shown in FIG. 4 is a screen displayed by the process of step A7. When “start assessment” in FIG. 4 is pressed, a request for resumption during the assessment is transmitted from the audit terminal 10 to the ISO audit server 30. Then, the assessment execution unit 32 of the ISO audit server 30 executes the process of Step A8.
[0056]
In performing the assessment in step A8, the assessment execution unit 32 transmits the assessment information registered in the history DB 42, the question information related to the ISO17799 article registered in advance in the question DB 41, and the The question algorithm is assembled based on the input of the auditee's answer.
That is, in step A9, the assessment execution unit 32 searches the question set selected in step A6 from the plurality of question sets registered in the question DB 41, and performs the assessment based on each question attribute in this question set. The question items matching the target person and the current assessment type are extracted, and the question contents are displayed on the inspection terminal 10 in the order of the question numbers. FIG. 5 shows an assessment execution screen (for answering) in which question items and answer options are displayed, and the next question is displayed after the answer is input.
[0057]
Here, the assembly of the question algorithm will be described using a specific example.
Assuming that “information system department”, “line department”, “staff department”, and “top (manager)” are registered in the corporate DB 43 as the information of the person to be audited, the attribute of the auditee is the person in charge of general affairs. In step A3, in the target company search, the registered information of the company is searched and extracted from the company DB 43 based on the company ID and the like, and the "staff section" is selected.
Furthermore, on the assessment execution screen (for search / selection / registration), each item of "A. Only very important things", "B. Including relatively important things", and "C. All" indicating the importance level "A" is selected.
The assessment execution unit 32 of the ISO audit server 30 has a “staff section” attribute from the question DB 41 based on the input information of “staff section” and “A”, and sets of question sets corresponding to the importance level “A”. The question is extracted and questioned.
[0058]
Next, a process of extracting only questions in the question set group corresponding to the importance level “A” and setting a question will be described using a specific example.
In this description, as a criterion for setting the degree of importance, "A" is given when the score per question is 7.5 or more, and "B" when the score is 5 or more and less than 7.5.
In addition, it is assumed that the article 3.1.1 has a perfect score of 15 and is composed of the following three questions.
Question 1 Yes (5 points), No (0 points), I do not know (5 points)
Question 2 Yes (5 points), No (0 points), I do not know (5 points)
Question 3 Clear (5 points), unclear (0 points), not sure (5 points)
Article 3.1.2 has a maximum score of 15 and consists of the following two questions.
Question 1 Yes (5 points), No (0 points), I do not know (5 points)
Question 2 Clear (10 points), unclear (0 points), not sure (5 points)
[0059]
In this case, both the question set group of the provisional 3.1.1 and the question set group of the provisional 3.1.2 have a perfect score of 15, but the score per question is as follows. Since 5 points and the provision 3.1.2 are 7.5 points, the provision 3.1.1 is determined as the importance “B” and the provision 3.1.2 is determined as the importance “A”.
Therefore, in this case, the question of the article 3.1.1 is not extracted, and the question of the article 3.1.2 is extracted and set.
In the case of this example, the importance is calculated based on the score. However, the question DB 41 is provided with importance information for each question, and the extraction and the question processing are executed based on the importance information. It goes without saying that it is possible to do so.
[0060]
Next, in step A10, when the answer to the question set is input from the audit terminal 10, the assessment execution unit 32 reconfigures the question algorithm in accordance with the question number information on which the answer content affects, and At the same time as displaying, the answer content is stored in the history DB 42.
Here, the rearrangement of the question algorithm will be described using a specific example.
For example, in step A3, when performing search / selection / registration of a target company, “efficient assessment” can be selected as an option, and a related question when answering each question is stored in the question DB 41 in advance. Is registered, it is possible to skip a question from the same viewpoint depending on the answer content.
[0061]
Specifically, if the answer 1 “Knows and obeys” is selected for the question “9-13: Do users know the importance of passwords, update rules, etc.”? A question regarding the use of a password that has been set in association with 9-13, for example, "9-16: Does the password realize more than six characters and numbers that cannot be imagined by others?" , "9-17: Is password change performed regularly?" Is skipped as answered (affirmative answer).
When the answer 2 "I know but cannot comply" is selected, the subsequent questions regarding the use of the password are not skipped.
If the answer 3 “I don't know” is selected, the questions “9-16” and “9-17” are skipped as answered (negative answer).
However, if such an efficient assessment is used by re-assembling the question algorithm, the system automatically eliminates inconsistencies between the answers, so if you want to perform a simple audit without spending time, It is preferable to select only.
[0062]
In step A11, the result display unit 33 of the ISO audit server 30 assigns each answer to the assessment stored in the history DB 42 according to the evaluation axis in the question DB 41 and the score set in the answer of each question item. Aggregate and display in list and graph format.
This aggregation takes into account the weighting score for each chapter and section of the ISO 17799 article to which each question item belongs, the weighting score for the level of each question item in the chapter and section, and the score set for the answer to the question. The calculation is performed according to the calculated formula. The weighted score is not only used as it is in the question DB 41 as it is, but is applied only when a question is given to a predetermined attribute, or 1.5% when a question is given to a predetermined attribute. Control such as doubling can be performed. Further, a weighted score can be used or its size can be controlled according to the importance of the audit specified as the assessment type or the like. Further, the weighting score for each chapter / section can be stored in a table separate from the question DB 41.
As a result, it is possible to levelly express the evaluation axes on the graph. FIG. 7 is an assessment tabulation result display screen that displays a list and a graph in which assessment answers are tabulated.
[0063]
Here, the aggregation process will be described using the following specific example.
Figure 2004295590
[0064]
In this case, if the auditee is a staff department, the score of the positive answer to the question 2 of the provisional a1 in Chapter A is doubled, and the attribute information of the question 2 of the provisional a1 in the question DB41. In this case, with respect to the questions of all the provisions in Chapter B, the case where the score of the positive answer is set to 1.5 times as the attribute information of the questions in Chapter B of the question DB 41 , The question 2 of the clause a1 of the chapter A, and the score of the chapter B are weighted and converted as follows.
Figure 2004295590
[0065]
At this time, "No, Yes, Don't Know, Yes" is obtained as an answer in the order of Question 1, Question 2 in Chapter A, Question 2, Question 2 in Chapter B, Question 1. In this case, the score is "0, 5, -5, 5" according to the scoring when weighting is not performed, and the sentence a1 has 50 points out of 5 out of 10 points, and the article b1 has 10 points. A score of 0 out of the possible points is 0.
On the other hand, according to the score when weighting is performed as described above, the score is "0, 10, -5, 7.5", and the article a1 has 67 points out of 15 out of 15 points. The article b1 has 17 points out of 2.5 out of 15 points.
[0066]
By performing the aggregation using such weighting, it is possible to clearly show the difference for each attribute. In other words, if the items to be examined from an audit perspective differ depending on the auditee's corporate attributes (industry, industry, size, etc.) and the organizational attributes within the company (general affairs, line, information system department, etc.), Appropriate questions and their aggregation can be made. In particular, regarding network security, it is extremely effective to make comparisons by weighting in order to clarify the difference in consciousness between the information department and the general department and the difference between the importance of security and the consciousness of the person in charge.
[0067]
Further, by calling step A11 from the assessment history list displayed in step A4, it is possible to compare and display the results of other assessment histories when displaying a list and a graph as the assessment execution results.
That is, by pressing “result” on the assessment history screen shown in FIG. 4, a request for displaying an assessment total screen is transmitted from the audit terminal 10 to the ISO audit server 30, and the result display unit 33 of the ISO audit server 30 An assessment totaling result display screen as shown in FIG. 6 is displayed.
In addition, by pressing a pull-down in the “comparison graph” of the assessment totalization result display screen of FIG. 6, the result display unit 33 displays the history list of assessments performed in the same department or another department within the same company from the history DB. Is displayed, and a list or graph of the selected history is displayed.
[0068]
Next, assessment maintenance will be described with reference to FIG. First, a user such as an auditor inputs the authentication information for use of the assessment maintenance to the maintenance terminal 20 and executes the member authentication by the member authentication unit 31 of the ISO audit server 30 (step B1).
The member authentication unit 31 identifies the user from the information on the member DB 44, determines whether or not the maintenance function can be used, and displays the assessment maintenance screen if it is available (step B2). Then, a selection is made as to whether to register a new question set or to maintain the already registered question information.
When a new question set is registered, the assessment maintenance execution unit 34 receives an input from the user, and the assessment name and the question set used at the time of the assessment are used as attributes for identifying the new question set from other question sets. Information such as an explanatory sentence that guides the selection of the user and the attribute of a user who is permitted to use the question set is registered in the question DB (step B3). Then, in step B5, registration of each question constituting the question set is repeated.
[0069]
If maintenance of the question information already registered is selected in step B2, step B5 is called to correct the question item attribute in the existing question set (step B4). However, this correction can be made only to the question items not used in the audit assessment, and it is preferable to control so that the correction of the question set whose use information is already registered in the history DB 42 becomes impossible.
As a method, in the question search in step B6, it is checked whether information for identifying the question such as the question number is registered in the history DB 42, and if it is registered, the information is corrected. For example, a message indicating that the file cannot be deleted can be displayed.
[0070]
Next, in the question item maintenance in step B5, the assessment maintenance execution unit 34 of the ISO audit server 30 searches the chapters / sections of the ISO17799 article, searches for the question items belonging thereto, displays the attributes, and asks the question item attributes. The registration in the DB 41 is performed.
More specifically, in step B6, the article composition is displayed hierarchically from the article DB storing the ISO17799 article itself in XML format, and the chapter / section number to which the question item to be maintained belongs is input from the maintenance terminal 20.
[0071]
Next, the assessment maintenance execution unit 34 searches the question DB 41 for the presence / absence of a question item belonging to the input chapter / section number, and if it exists, the maintenance terminal 20 can edit the question item in an editable state. To be displayed. If not present, a blank assessment maintenance screen (question item attribute input screen) is displayed (step B6).
Next, from this assessment maintenance screen, as the question item attributes, a question sentence, a question subject attribute, an importance level, an evaluation axis at the time of counting, an answer option group, each answer score, and the like are input, and a corresponding chapter of the ISO17799 article is entered.・ Register with the question information in the question DB 41 (step B7). FIG. 8 shows an example of this assessment maintenance screen.
As shown in the figure, in the ISO audit, since there are many parts that cannot be answered with Yes / No, it is preferable to be able to set “Unknown” or a non-target answer as an option of the answer.
[0072]
As described above, according to the ISO audit system of the present embodiment, it is possible to set a weight according to the attribute of the auditee or a weight according to the importance of the audit to the question item. An optimal assessment question algorithm can be automatically generated based on the selection of the assessment execution level according to the importance of the audit and the situation of the auditee.
Therefore, the inspector can proceed while focusing on the audit itself, and can perform the audit more flexibly and efficiently.
[0073]
Further, according to the ISO audit system of the present embodiment, the accuracy of the audit can be improved. In other words, since the weight of the questions to be asked in the assessment and the points assigned to the answers can be considered in accordance with the auditee's attributes, the answers with a strong content for each auditee attribute can be considered even within the same company. It is possible to obtain. In addition, since answers are totalized not by the number of answers but by weighting, it is possible to quantitatively compare and analyze the audit results of a plurality of persons in the same audited organization.
[0074]
Further, by displaying the results of the assessment of the ISO audit immediately, it is possible to make a diagnosis in a short time. That is, the score obtained by the assessment can be automatically totaled by the score set in the ISO article on the question DB 41 and the data on the history DB 42 that immediately stores the answer. It can be performed. As a result, the results of assessments performed in the same department in the past and the comparison results of assessments performed in other departments within the same company can be displayed immediately. Can be performed immediately.
[0075]
Further, according to the ISO audit system of the present embodiment, even if an auditor who does not have a thorough preparation time or audit know-how performs an assessment, there is obtained an effect that there is no difference in the output contents of the assessment execution result. In other words, it is possible to share the question set for assessment and to proceed with the assessment according to an algorithm that is appropriately and automatically generated in consideration of the weighting. It is possible to carry out the assessment using the information. For this reason, the ISO audit system of the present embodiment can be used not only for the original purpose of auditing by the auditor, but also for self-assessment performed by the audited company as a self-diagnosis of information security, learning of the contents of the ISO audit, and education for enlightenment. It is possible to use.
[0076]
[Second embodiment]
Next, a second embodiment of the present invention will be described with reference to FIG. FIG. 11 is a flowchart illustrating an assessment processing procedure in the ISO audit system according to the present embodiment.
The present embodiment is different from the first embodiment in that the assessment analysis function can perform a trend analysis based on a total display of audit results of a plurality of companies. In other words, in the present invention, since assessment responses can be tabulated by weighted score points, a plurality of assessment execution results performed on a plurality of subjects of a plurality of companies are classified by company attribute and by subject attribute. It can be displayed in list format.
This assessment analysis function can be realized by the assessment execution unit 32 and the result display unit 33 of the ISO audit server 30. Other points are the same as those of the first embodiment, and the block diagram of this embodiment can be the same as that of FIG.
[0077]
FIG. 9 shows a processing flow in a case where a process of displaying an assessment analysis screen is selected instead of selecting an assessment execution screen display after the member authentication (step A1) in the assessment processing procedure shown in FIG. is there.
The assessment execution unit 32 extracts a company attribute (business type, business type, scale, and the like) to be analyzed from the information registered in the company DB 43, and displays the extracted attribute on the assessment analysis screen. Then, an attribute to be analyzed can be selected and input.
On the other hand, the auditor selects and inputs an attribute from the auditing terminal 10 and transmits the attribute to the ISO audit server 30, and the assessment execution unit 32 of the ISO audit server 30 performs, based on the selected and input attribute, A company having this attribute is extracted from the company DB 43. Further, in step C2, it is also possible to select and extract a face called a target person attribute (department, post, etc.).
[0078]
Next, the result display unit 33 tabulates the results of the assessment on the history DB 42 of the target company based on the extracted company IDs and the like according to the weights for each question item and each evaluation axis, and displays the result as a result graph. (Step C3). Alternatively, when the target person attribute is specified, the result display unit 33 totals the target of the target person attribute on the history DB 42 as the assessment execution result.
As described above, according to the ISO audit system of the present embodiment, it is possible to easily perform the trend analysis in the information security assessment based on the company attributes and the subject person attributes.
[0079]
In the above embodiment, the generation of the algorithm for the assessment and the calculation of the results of the assessment are performed by the ISO audit program.
The ISO audit program sends a command to each component of the computer to perform a predetermined process, for example, a process of generating an assessment question algorithm, a process of totaling the results of the assessment, and the like.
As a result, these processes are realized by the ISO audit server 30 or the like in which the ISO audit program and the computer cooperate.
[0080]
The ISO audit program can be stored in a computer-readable recording medium, such as an external storage device and a portable recording medium, in addition to being stored in the ROM or the hard disk of the computer.
The external storage device refers to a storage expansion device that incorporates a recording medium such as a magnetic disk and is externally connected to, for example, the ISO audit server 30 or the like. On the other hand, a portable recording medium is a recording medium that can be mounted on a recording medium drive (drive device) and is portable, and includes, for example, a CD-ROM, a flexible disk, a memory card, and a magneto-optical disk. .
[0081]
Then, the program recorded on the recording medium is loaded into the RAM of the computer and executed by the CPU. By this execution, the function of the above-described ISO audit server 30 of the present embodiment is realized.
Furthermore, when loading the ISO audit program on a computer, the ISO audit program held by another computer can be downloaded to its own RAM or external storage device using a communication line.
The downloaded ISO audit program is also executed by the CPU, and implements a process of generating an assessment question algorithm of the present embodiment, a process of totaling the results of the assessment, and the like.
[0082]
It should be noted that the present invention is not limited to the above embodiment, and it is needless to say that various modifications can be made within the scope of the present invention.
For example, the detailed processing procedure in the automatic generation of the questioning algorithm and the reassembly of the algorithm is not limited to the above-described method, and the design can be appropriately changed. Further, the ISO audit system of the present invention is not limited to the ISO audit, but can be applied to other audits. Further, within the range in which the object of the present invention can be realized, in the flowchart, detailed contents change of each process such as increasing the number of DBs to be accessed, changing items extracted from the DB and items registered in the DB, It is also possible to make design changes such as separation / merging of components in the figure.
[0083]
【The invention's effect】
As described above, according to the present invention, it is possible to set a weight according to the attribute of the auditee or a weight according to the importance of the audit for the question item. An optimal assessment algorithm can be automatically generated based on the selection of the assessment execution level according to the auditor's situation.
Therefore, the inspector can proceed while focusing on the audit itself, and can perform the audit more flexibly and efficiently.
[0084]
Further, according to the ISO audit system of the present embodiment, the accuracy of the audit can be improved. In other words, since the weight of the questions to be asked in the assessment and the points assigned to the answers can be considered in accordance with the auditee's attributes, the answers with a strong content for each auditee attribute can be considered even within the same company. It is possible to obtain. In addition, since answers are totalized not by the number of answers but by weighting, it is possible to quantitatively compare and analyze the audit results of a plurality of persons in the same audited organization.
[0085]
Further, by displaying the results of the assessment of the ISO audit immediately, it is possible to make a diagnosis in a short time. In other words, the score obtained by the assessment can be automatically tabulated based on the score set in the ISO clause on the question DB and the data on the history DB that immediately stores the answer. It can be performed. As a result, the results of assessments performed in the same department in the past and the comparison results of assessments performed in other departments within the same company can be displayed immediately. Can be performed immediately.
[0086]
Further, according to the ISO audit system of the present embodiment, even if an auditor who does not have a thorough preparation time or audit know-how performs an assessment, there is obtained an effect that there is no difference in the output contents of the assessment execution result. In other words, it is possible to share the question set for assessment and to proceed with the assessment according to an algorithm that is appropriately and automatically generated in consideration of the weighting. It is possible to carry out the assessment using the information. For this reason, the ISO audit system of the present embodiment can be used not only for the original purpose of auditing by the auditor, but also for self-assessment performed by the audited company as a self-diagnosis of information security, learning of the contents of the ISO audit, and education for enlightenment. It is possible to use.
Furthermore, since the results of assessments of a plurality of companies and target persons can be compared based on the attributes of the company and the target persons, the trend analysis in the information security assessment can be easily performed.
[0087]
Further, the ISO audit program can realize a function of generating a question algorithm for the assessment, a function of totalizing the results of the assessment, and the like by sending a predetermined command to each component of the computer.
Accordingly, these functions and the like can be realized by the ISO audit server in which the ISO audit program and the computer cooperate.
[Brief description of the drawings]
FIG. 1 is a schematic diagram of an ISO audit system according to a first embodiment of the present invention.
FIG. 2 is a block diagram showing a configuration of an ISO audit system according to the first embodiment of the present invention.
FIG. 3 is a flowchart showing an assessment processing procedure in the ISO audit system according to the first embodiment of the present invention.
FIG. 4 is a diagram showing an assessment history screen and an audit information screen in the ISO audit system according to the first embodiment of the present invention.
FIG. 5 is a diagram showing an assessment execution screen (for answering) in the ISO audit system according to the first embodiment of the present invention.
FIG. 6 is a diagram showing an assessment result display screen in the ISO audit system according to the first embodiment of the present invention.
FIG. 7 is a flowchart showing an assessment maintenance processing procedure in the ISO audit system according to the second embodiment of the present invention.
FIG. 8 is a diagram showing an assessment maintenance screen in the ISO audit system according to the first embodiment of the present invention.
FIG. 9 is a flowchart showing an assessment processing procedure in the ISO audit system according to the second embodiment of the present invention.
[Explanation of symbols]
10 Audit terminal
20 Maintenance terminals
30 ISO audit server
31 Member Authentication Department
32 Assessment Execution Department
33 Result display section
34 Assessment Maintenance Execution Department
40 Database device
41 Question DB
42 History DB
43 Company DB
44 Member DB
50 Communication Network

Claims (15)

通信ネットワークを介して接続された監査用端末と監査サーバを有する監査システムであって、
前記監査サーバが、アセスメントの実施にあたり、履歴DBに登録されている当該アセスメントの情報と、質問DBに登録されているISO条文に関連する質問情報と、前記監査用端末から受信する被監査者の回答にもとづいて、質問の出題アルゴリズムを組み立てるとともに、この出題アルゴリズムに従い質問を前記監査用端末に送信し、
前記監査用端末が、送信されてきた質問を表示するとともに、この質問に対する回答を前記監査サーバに送信する
ことを特徴とする監査システム。An audit system having an audit terminal and an audit server connected via a communication network,
When the audit server performs the assessment, the information of the assessment registered in the history DB, the question information related to the ISO provisions registered in the question DB, and the auditee's information received from the auditing terminal. Based on the answer, while assembling a question question algorithm, according to the question algorithm, send a question to the audit terminal,
An audit system, wherein the audit terminal displays a transmitted question and transmits an answer to the question to the audit server. 前記監査サーバが、
前記質問DBに登録されている一又は二以上の質問セットから、前記履歴DBに登録されている当該アセスメントの情報における質問タイプにもとづき質問セットを検索して、検索された質問セットにおける各質問項目の属性が、前記被監査者、および前記アセスメントの情報におけるアセスメントタイプに合致する質問項目を抽出し、この抽出した質問項目を質問番号順に並び替えて前記監査用端末に送信する
ことを特徴とする請求項1記載の監査システム。The audit server comprises:
From one or more question sets registered in the question DB, a question set is searched based on the question type in the information of the assessment registered in the history DB, and each question item in the searched question set Extracts the question items matching the assessment type in the information of the auditee and the assessment, sorts the extracted question items in the order of the question numbers, and transmits the sorted question items to the audit terminal. The audit system according to claim 1. 前記監査サーバが、
前記監査用端末から受信した回答にもとづいて、前記質問DBにおける当該回答に対応する質問の関連質問を、その回答内容に応じて肯定回答または否定回答が得られたものと擬制して質問の出題アルゴリズムを組み直し、この組み直した出題アルゴリズムに従い質問を前記監査用端末に送信するとともに、前記回答および前記擬制した回答を前記履歴DBに保存する
ことを特徴とする請求項1または2記載の監査システム。The audit server comprises:
Based on the answer received from the terminal for the audit, the question related to the question corresponding to the answer in the question DB is simulated as a positive answer or a negative answer according to the content of the answer, and the question is questioned. 3. The auditing system according to claim 1, wherein the algorithm is rearranged, a question is transmitted to the auditing terminal according to the rearranged question algorithm, and the answer and the simulated answer are stored in the history DB. 前記監査サーバが、
前記監査用端末から受信した回答に対し、この回答に対応する質問の配点と、その質問に設定された重み付け配点と、ISO条文の章または節ごとに設定された重み付け配点と、にもとづいて得点を計算し、かつ、前記質問DBに登録されている各質問の評価軸ごとに、前記得点を集計する
ことを特徴とする請求項1〜3のいずれかに記載の監査システム。The audit server comprises:
For the answer received from the auditing terminal, a score is calculated based on the score of the question corresponding to the answer, the weighting score set for the question, and the weighting score set for each chapter or section of the ISO article. The auditing system according to any one of claims 1 to 3, wherein the score is calculated and the score is totaled for each evaluation axis of each question registered in the question DB. 前記監査サーバが、
前記評価軸ごとの集計結果を、少なくとも一覧表またはグラフの形式により表示する
ことを特徴とする請求項1〜4のいずれかに記載の監査システム。The audit server comprises:
The audit system according to any one of claims 1 to 4, wherein the totalization result for each evaluation axis is displayed at least in a form of a list or a graph. 前記監査サーバが、
前記監査用端末から受信した企業属性、または対象者属性にもとづいて、企業DBから当該企業属性、または対象者属性を有する企業または対象者を抽出し、この抽出した企業または対象者のアセスメント実施結果を前記履歴DBから抽出して、前記評価軸ごとの前記得点を集計する
ことを特徴とする請求項1〜5のいずれかに記載の監査システム。The audit server comprises:
Based on the company attribute or the subject attribute received from the audit terminal, the company or the subject having the subject attribute or the subject attribute is extracted from the company DB, and the results of the assessment of the extracted company or the subject are extracted. The audit system according to any one of claims 1 to 5, wherein the auditing system extracts the score from the history DB and totals the scores for each of the evaluation axes. 前記監査サーバに、通信ネットワークを介してメンテナンス用端末が接続され、
当該メンテナンス用端末が、メンテナンス対象となる質問項目に対応するISOの条文番号を前記監査サーバに送信するとともに、前記監査サーバから受信した質問項目編集画面を表示し、かつ、編集入力された質問項目を前記監査サーバへ送信し、
前記監査サーバが、前記メンテナンス用端末から受信した前記条文番号にもとづいて、前記質問DBを検索し、当該条文番号に対応する質問項目が存在する場合は、この質問項目を表示した質問項目編集画面を、当該条文番号に対応する質問項目が存在しない場合は、ブランク表示の質問項目編集画面を、前記メンテナンス用端末に送信し、かつ、前記メンテナンス用端末から受信した前記編集入力された質問項目を前記質問DBに保存する
ことを特徴とする請求項1〜6のいずれかに記載の監査システム。A maintenance terminal is connected to the audit server via a communication network,
The maintenance terminal transmits the ISO article number corresponding to the question item to be maintained to the audit server, displays the question item edit screen received from the audit server, and edits and inputs the question item. To the audit server,
The audit server searches the question DB based on the article number received from the maintenance terminal, and if there is a question item corresponding to the article number, a question item editing screen displaying the question item If there is no question item corresponding to the article number, a blank question item editing screen is transmitted to the maintenance terminal, and the edited and input question item received from the maintenance terminal is displayed. The audit system according to any one of claims 1 to 6, wherein the audit database is stored in the question DB. 通信ネットワークを介して接続された監査用端末と監査サーバを用いた監査方法であって、
前記監査サーバが、アセスメントの実施にあたり、履歴DBに登録されている当該アセスメントの情報と、質問DBに登録されているISO条文に関連する質問情報と、前記監査用端末から受信した被監査者の回答にもとづいて、質問の出題アルゴリズムを組み立てるとともに、この出題アルゴリズムに従い質問を前記監査用端末に送信し、
前記監査用端末が、送信されてきた質問を表示するとともに、この質問に対する回答を前記監査サーバに送信する
ことを特徴とする監査方法。An audit method using an audit terminal and an audit server connected via a communication network,
When the audit server performs the assessment, the information of the assessment registered in the history DB, the question information related to the ISO provisions registered in the question DB, and the auditee's information received from the audit terminal. Based on the answer, while assembling a question question algorithm, according to the question algorithm, send a question to the audit terminal,
An auditing method, wherein the auditing terminal displays a sent question and sends an answer to the question to the audit server. 前記監査サーバが、前記質問DBに登録されている一又は二以上の質問セットから、前記履歴DBに登録されている当該アセスメントの情報における質問タイプにもとづき質問セットを検索して、検索された質問セットにおける各質問項目の属性が、前記被監査者、および前記アセスメントの情報におけるアセスメントタイプに合致する質問項目を抽出し、この抽出した質問項目を質問番号順に並び替えて前記監査用端末に送信し、
前記監査用端末が、受信した質問項目に対する回答を、前記監査サーバに送信し、
前記監査サーバが、受信した回答にもとづいて、前記質問DBにおける当該回答に対応する質問の関連質問を、その回答内容に応じて肯定回答または否定回答が得られたものと擬制して質問の出題アルゴリズムを組み直し、この組み直した出題アルゴリズムに従い質問を前記監査用端末に送信するとともに、前記回答および前記擬制した回答を前記履歴DBに保存する
ことを特徴とする請求項8記載の監査方法。The audit server searches a question set based on the question type in the information of the assessment registered in the history DB from one or more question sets registered in the question DB, and retrieves the searched question. The attributes of each question item in the set, extract the question items that match the auditee, and the assessment type in the information of the assessment, sort the extracted question items in the order of the question number, and send them to the audit terminal. ,
The audit terminal transmits an answer to the received question item to the audit server,
The audit server simulates a question related to the question corresponding to the answer in the question DB on the basis of the received answer, assuming that an affirmative answer or a negative answer is obtained according to the answer content. 9. The auditing method according to claim 8, wherein the algorithm is rearranged, a question is transmitted to the audit terminal according to the rearranged question algorithm, and the answer and the fake answer are stored in the history DB. 前記監査サーバが、
前記監査用端末から受信した回答に対し、この回答に対応する質問の配点と、その質問に設定された重み付け配点と、ISO条文の章または節ごとに設定された重み付け配点と、にもとづいて得点を計算し、かつ、前記質問DBに登録されている各質問の評価軸ごとに、前記得点を集計する
ことを特徴とする請求項8または9記載の監査方法。The audit server comprises:
For the answer received from the auditing terminal, a score is calculated based on the score of the question corresponding to the answer, the weighting score set for the question, and the weighting score set for each chapter or section of the ISO article. 10. The auditing method according to claim 8, wherein the score is calculated and the score is totaled for each evaluation axis of each question registered in the question DB. 通信ネットワークを介して、監査用端末に監査のための質問およびアセスメント実施結果を送信する監査サーバであって、
重み付けや配点情報を含んだ質問データを格納する質問DBと、
アセスメント実施結果としての回答データを格納する履歴DBと、
監査を行う監査者情報を格納する会員DBと、
前記監査用端末から受信した会員IDおよびパスワードにもとづいて前記会員DBを検索し、当該会員IDおよびパスワードが前記会員DBに登録されているか否かにより認証を実行する会員認証部と、
アセスメントの実施にあたり、前記履歴DBに登録されている当該アセスメントの情報と、前記質問DBに登録されているISO条文に関連する質問情報と、前記監査用端末から受信した被監査者の回答にもとづいて、質問の出題アルゴリズムを組み立てるとともに、この出題アルゴリズムに従い質問を前記監査用端末に送信するアセスメント実行部と、
前記監査用端末からの要求にもとづいて、アセスメント実施結果を表示するアセスメント集計画面を前記監査用端末に送信する結果表示部と、を有する
ことを特徴とする監査サーバ。An audit server for transmitting an audit question and an assessment result to an audit terminal via a communication network,
A question DB that stores question data including weighting and score information,
A history DB storing answer data as an assessment execution result,
A member DB for storing auditor information for performing an audit,
A member authentication unit that searches the member DB based on the member ID and the password received from the audit terminal and performs authentication based on whether the member ID and the password are registered in the member DB;
In performing the assessment, based on the information of the assessment registered in the history DB, the question information related to the ISO provisions registered in the question DB, and the answer of the auditee received from the audit terminal. An assessment execution unit that assembles a question question algorithm and transmits a question to the audit terminal according to the question algorithm.
An audit server, comprising: a result display unit that transmits an assessment total screen that displays an assessment execution result to the audit terminal based on a request from the audit terminal. 前記アセスメント実行手段が、
前記質問DBに登録されている一又は二以上の質問セットから、前記履歴DBに登録されている当該アセスメントの情報における質問タイプにもとづき質問セットを検索し、検索された質問セットにおける各質問項目の属性が、前記被監査者、および前記アセスメントの情報におけるアセスメントタイプに合致する質問項目を抽出して、この抽出した質問項目を質問番号順に並び替えて前記監査用端末に送信し、前記監査用端末から受信した前記質問項目に対応する回答にもとづいて、前記質問DBにおける当該回答に対応する質問の関連質問を、その回答内容に応じて肯定回答または否定回答が得られたものと擬制して質問の出題アルゴリズムを組み直し、この組み直した出題アルゴリズムに従い質問を前記監査用端末に送信するとともに、前記回答および前記擬制した回答を前記履歴DBに保存する
ことを特徴とする請求項11記載の監査サーバ。The assessment execution means includes:
From one or more question sets registered in the question DB, a question set is searched based on the question type in the information of the assessment registered in the history DB, and each question item in the searched question set is searched. Attributes, the auditee, and extract the question items that match the assessment type in the information of the assessment, sort the extracted question items in the order of question number and send to the audit terminal, the audit terminal Based on the answer corresponding to the question item received from the question DB, the question related to the question corresponding to the answer in the question DB is simulated as a positive answer or a negative answer according to the answer content. Re-arrange the question algorithm, and send a question to the audit terminal according to the rearranged question algorithm. Audit server of claim 11, wherein the storing the answers and the answer and the constructive in the history DB. 前記結果表示部が、
前記監査用端末から受信した回答に対し、この回答に対応する質問の配点と、その質問に設定された重み付け配点と、ISO条文の章または節ごとに設定された重み付け配点と、にもとづいて得点を計算し、かつ、前記質問DBに登録されている各質問の評価軸ごとに、前記得点を集計して、少なくとも一覧表またはグラフを作成し、この一覧表またはグラフを前記監査用端末に送信する
ことを特徴とする請求項11または12記載の監査サーバ。The result display unit,
For the answer received from the auditing terminal, a score is calculated based on the score of the question corresponding to the answer, the weighting score set for the question, and the weighting score set for each chapter or section of the ISO article. Is calculated, and the scores are totaled for each evaluation axis of each question registered in the question DB, and at least a list or a graph is created, and the list or the graph is transmitted to the audit terminal. The audit server according to claim 11, wherein 監査用端末に、監査のための質問およびアセスメント実施結果を、通信ネットワークを介して監査用端末へ送信させる監査プログラムであって、
前記監査サーバに、
質問DBに登録されている一又は二以上の質問セットから、履歴DBに登録されている当該アセスメントの情報における質問タイプにもとづき質問セットを検索させて、検索された質問セットにおける各質問項目の属性が、被監査者、および前記アセスメントの情報におけるアセスメントタイプに合致する質問項目を抽出させ、この抽出させた質問項目を質問番号順に並び替えさせて前記監査用端末に送信させ、
前記監査用端末から受信した前記質問項目に対応する回答にもとづいて、前記質問DBにおける当該回答に対応する質問の関連質問を、その回答内容に応じて肯定回答または否定回答が得られたものと擬制して質問の出題アルゴリズムを組み直させ、この組み直させた出題アルゴリズムに従い質問を前記監査用端末に送信させるとともに、前記回答および前記擬制した回答を前記履歴DBに保存させる
ことを実行させるための監査プログラム。An audit program that causes an audit terminal to send an audit question and an assessment execution result to the audit terminal via a communication network,
In the audit server,
From one or more question sets registered in the question DB, a question set is searched based on the question type in the information of the assessment registered in the history DB, and the attribute of each question item in the searched question set However, the auditee, and to extract a question item that matches the assessment type in the information of the assessment, and let the extracted question items be rearranged in the order of the question number and transmitted to the auditing terminal,
Based on the answer corresponding to the question item received from the auditing terminal, a question related to the question corresponding to the answer in the question DB, an affirmative answer or a negative answer is obtained according to the answer content. In order to execute the assembling of the question question algorithm in a simulated manner, transmitting the question to the audit terminal according to the reassembled question algorithm, and storing the answer and the simulated answer in the history DB. Audit program. 前記監査サーバに、
前記監査用端末から受信させた回答に対し、この回答に対応する質問の配点と、その質問に設定された重み付け配点と、ISO条文の章または節ごとに設定された重み付け配点と、にもとづいて得点を計算させ、かつ、前記質問DBに登録されている各質問の評価軸ごとに、前記得点を集計させる
ことを実行させるための請求項14記載の監査プログラム。In the audit server,
For the answer received from the audit terminal, based on the score of the question corresponding to the answer, the weighting score set for the question, and the weighting score set for each chapter or section of the ISO article. 15. The audit program according to claim 14, for causing a score to be calculated and for causing the score to be totaled for each evaluation axis of each question registered in the question DB.
JP2003088202A 2003-03-27 2003-03-27 Auditing system and method, auditing server and auditing program Pending JP2004295590A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003088202A JP2004295590A (en) 2003-03-27 2003-03-27 Auditing system and method, auditing server and auditing program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003088202A JP2004295590A (en) 2003-03-27 2003-03-27 Auditing system and method, auditing server and auditing program

Publications (1)

Publication Number Publication Date
JP2004295590A true JP2004295590A (en) 2004-10-21

Family

ID=33402395

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003088202A Pending JP2004295590A (en) 2003-03-27 2003-03-27 Auditing system and method, auditing server and auditing program

Country Status (1)

Country Link
JP (1) JP2004295590A (en)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006244010A (en) * 2005-03-02 2006-09-14 Fujitsu Social Science Laboratory Ltd Inspection processing program, device and method
JP2008009819A (en) * 2006-06-30 2008-01-17 Uchida Yoko Co Ltd Security diagnostic system
JP2009169678A (en) * 2008-01-16 2009-07-30 Ricoh Co Ltd Data input device and data input system
JP2010165099A (en) * 2009-01-14 2010-07-29 Mitsubishi Electric Corp Security management device, security management method, and program
CN107230022A (en) * 2017-06-09 2017-10-03 国网重庆市电力公司电力科学研究院 A kind of evaluation method of the electric power meter mounting process quality based on AHP
JP2017188082A (en) * 2016-03-30 2017-10-12 三菱Ufj信託銀行株式会社 Financial literacy consulting system and method thereof
CN109325021A (en) * 2018-10-17 2019-02-12 大国创新智能科技(东莞)有限公司 Tracking identification and robot system based on big data and deep learning
JP2022054183A (en) * 2020-09-25 2022-04-06 三菱電機インフォメーションネットワーク株式会社 Assessment point correction device and assessment point correction program
JP2022115543A (en) * 2021-01-28 2022-08-09 社会保険労務士法人みらいコンサルティング Monitoring support device and monitoring support method

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006244010A (en) * 2005-03-02 2006-09-14 Fujitsu Social Science Laboratory Ltd Inspection processing program, device and method
JP4572126B2 (en) * 2005-03-02 2010-10-27 株式会社富士通ソーシアルサイエンスラボラトリ Audit processing program, apparatus and method
JP2008009819A (en) * 2006-06-30 2008-01-17 Uchida Yoko Co Ltd Security diagnostic system
JP2009169678A (en) * 2008-01-16 2009-07-30 Ricoh Co Ltd Data input device and data input system
JP2010165099A (en) * 2009-01-14 2010-07-29 Mitsubishi Electric Corp Security management device, security management method, and program
JP2017188082A (en) * 2016-03-30 2017-10-12 三菱Ufj信託銀行株式会社 Financial literacy consulting system and method thereof
CN107230022A (en) * 2017-06-09 2017-10-03 国网重庆市电力公司电力科学研究院 A kind of evaluation method of the electric power meter mounting process quality based on AHP
CN107230022B (en) * 2017-06-09 2021-01-29 国网重庆市电力公司电力科学研究院 AHP-based electric energy metering device installation process quality evaluation method
CN109325021A (en) * 2018-10-17 2019-02-12 大国创新智能科技(东莞)有限公司 Tracking identification and robot system based on big data and deep learning
CN109325021B (en) * 2018-10-17 2021-11-02 大国创新智能科技(东莞)有限公司 Tracking and identifying method based on big data and deep learning and robot system
JP2022054183A (en) * 2020-09-25 2022-04-06 三菱電機インフォメーションネットワーク株式会社 Assessment point correction device and assessment point correction program
JP7071462B2 (en) 2020-09-25 2022-05-19 三菱電機インフォメーションネットワーク株式会社 Evaluation point correction device and evaluation point correction program
JP2022115543A (en) * 2021-01-28 2022-08-09 社会保険労務士法人みらいコンサルティング Monitoring support device and monitoring support method
JP7127166B2 (en) 2021-01-28 2022-08-29 社会保険労務士法人みらいコンサルティング Audit support device and audit support method

Similar Documents

Publication Publication Date Title
Ali et al. Does higher education service quality effect student satisfaction, image and loyalty? A study of international students in Malaysian public universities
Scheidt et al. Making a case for speech analytics to improve customer service quality: Vision, implementation, and evaluation
US7668745B2 (en) Human resource assessment
Mwanza Conceptualising work activity for CAL systems design
US8112306B2 (en) System and method for facilitating triggers and workflows in workforce optimization
Jennex et al. A knowledge management success model: An extension of DeLone and McLean's IS success model
CN110232573A (en) Based on interactive intelligent response system
US20070198325A1 (en) System and method for facilitating triggers and workflows in workforce optimization
US20060031115A1 (en) Human resource assessment
JP5854988B2 (en) Diagnostic system
WO2015056091A2 (en) Assessment system
JP7183600B2 (en) Information processing device, system, method and program
JP2002157380A (en) Enterprise training planning method and enterprise training information acquiring method
US20150254995A1 (en) System for identifying orientations of an individual
KR102370384B1 (en) Method for contact free interviewing employing data making
JP2004295590A (en) Auditing system and method, auditing server and auditing program
US20020091558A1 (en) System and method for determining and implementing best practice in a distributed workforce
Yu et al. Testing the value of expert insight: Comparing local versus general expert judgment models
CN109685444A (en) Label report the automatic measures and procedures for the examination and approval, device, equipment and computer readable storage medium
JP2002032538A (en) Skill management system and computer readable recording medium
Houger How program design affects program performance and participant motivation
Doloh et al. The Role of Financial Behavior, Financial Stress, and Financial Well-Being in Explaining Islamic Financial Literacy among University Students.
JP7002162B1 (en) Programs, information processing equipment, and methods
JP2004110502A (en) Method and system for providing analysis result
US20220309470A1 (en) System for identifying mental model orientations of an individual

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060104

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060131

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060403

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20070327